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内 容 简 介 

本 书 是 一 本 讲解 计算 机 网 络 基 础 的 图 书 , 但 其 内 容 并 没有 局 限于 计算 机 网 络 ， 还 包括 了 网 络 安全 、 搭 
建 网 络 服务 器 等 实用 操作 内 容 。 本 书 一 改 传统 计算 机 网 络 教 材 艰 涩 的 叙述 方式 , 而 是 基于 笔者 多 年 的 网 络 
运营 经 验 从 实用 角度 阐述 理论 ， 希 望 可 以 给 读者 不 一 样 的 阅读 体验 。 本 书 使 用 Packet Tracer 和 Dynamips 
两 款 路 由 器 模拟 软件 为 读者 拱 建 好 逼真 实验 环境 ， 为 您 的 学 习 扫 除 障碍 。 

本 书 涉及 的 内 容 ， 理 论 部 分 包括 网 络 设备 、 开 放 式 系统 互联 (OSI)、IP 地 址 、TCP/IP 协议 、 安 装 服 
务 器 、 配 置 服务 器 网 络 安全 、 灰 鸽子 木马 防治 、P2P 终结 者 的 工作 原理 。 路 由 器 操作 部 分 包括 网 络 操作 系 
统 (IOS) 的 配置 。 路 由 部 分 包括 静态 路 由 、 路 由 汇总 、 默 认 路 由 。 动态 路 由 讲述 了 RIP、EIGRP 和 OSPF。 
交换 部 分 包括 交换 机 端口 安全 和 VLAN 管理 。 网 络 安全 包括 标准 访问 控制 列表 、 扩 展 访问 控制 列表 。 网 
络 地 址 转换 包括 静态 NAT、 动态 NAT 和 端口 地 址 转换 。IPv6 包括 IPv6 地 址 、IPv6 的 动态 和 静态 路 由 、IPv6 
和 IPv4 共存 技术 。 广 域 网 包括 广域网 封装 PPP、HDLC 和 帧 中 继 、 路 由 器 和 Windows 实现 的 VPN。 

本 书 光盘 包含 50 小 时 的 计算 机 网 络 相关 视频 操作 以 及 PPT 教学 课件 。 

本 书 适合 于 作为 计算 机 网 络 自学 教材 、 大 专 院 校 教材 、 社 会 培训 教材 、CCNA 教 辅 等 ， 另 外 本 书 提供 
的 一 些 实用 网 络 操作 ， 对 网 络 从 业 人 员 也 具有 相当 的 参考 价值 。 
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IT 职业 生涯 从 《 葛 基 计算 机 网 络 》 开 始 


有 不 少 计算 机 专业 的 学 生 毕 业 找 工作 ， 发 现 不 能 立刻 满足 用 人 单位 对 IT 人 才 的 要 求 。 
现在 我 们 来 分 析 一 下 原因 ， 看 一 下 在 学 校 学 到 的 专业 课程 和 用 人 单位 的 要 求 。 

计算 机 专业 课程 : C 语言 ， 数 据 结构 ， 离 散 数学 ， 数 据 库 原理 ， 编 译 原理 ， 操 作 系统 ， 
计算 机 组 成 原理 ， 计 算 机 网 络 原理 ， 数 字 电 路 、 模 拟 电路 等 。 可 以 看 到 学 校 的 课程 设置 偏 理 
论 、 偏 底层 ， 学 完 这 些 课程 要 是 不 去 制造 计算 机 都 有 点 届 才 ， 这 些 理论 再 讲 10 年 课本 都 不 
需要 更 新 ， 学 校 做 到 了 以 不 变 应 万 变 。 

再 看 用 人 单位 的 需求 ， 下 面 列 出 智联 招聘 网 站 几 家 用 人 单位 对 IT 人 才 的 需求 ， 可 以 看 
到 ， 虽 然 职 位 是 网 络 工程 师 ， 但 恨不得 什么 都 能 干 ， 有 的 还 要 求 你 有 经 验 。 


用 人 单位 


上 海 杨 浦 区 
同 欣 进修 学 校 


浙江 中 国 轻 纺 
城 网 络 有 限 公 
司 


职位 


网 络 工程 师 


网 络 维护 工程 师 


1. 具 有 丰富 的 计算 机 硬件 知识 ， 精 通 计算 机 、 服 务 器 和 网 
络 维护 ; 

2. 熟 悉 局 域 网 架构 ， 具 有 良好 的 网 络 规划 、 组 建 、 维 护 和 
独立 处 理 网 络 系统 故障 的 能 力 ; 

3. 熟 悉 路 由 器 、 交 换 机 、 网 络 设备 的 设置 与 管理 ; 

4. 熟 练 使 用 办 公 软 件 。 

1. 有 一 定 的 局 域 网 维护 经 验 (包括 路 由 器 、 交 换 机 等 )， 会 
简单 的 综合 布线 能 力 ; 

2. 熟 练 操作 通用 办 公 软 件 ， 能 够 对 出 现 的 网 络 问题 、 电 脑 
病毒 、 打 印 机 故障 等 及 时 有 效 地 处 理 ; 

3. 熟 悉 Linux 操作 系统 ; 

4. 熟 悉 Windows Server 服务 器 ， 了 解 Active Directory ( 域 
管理 ) 等 基本 的 管理 和 使 用 ; 

5. 熟 悉 Web、FTP、Mail 软件 配置 。 


百事 饮料 ( 南 
昌 ) 有 限 公 司 


网 络 维护 人 员 


1. 熟 悉 Windows 网 络 组 建 ， 域 管理 ，Cisco 网 络 设备 和 服 
务 器 的 基本 维护 ; 

2. 熟 练 地 对 单机 硬件 /电脑 周边 设备 及 Windows 操作 系统 
进行 排 障 处 理 ， 熟 悉 常 用 工具 软件 及 办 公 软 件 的 应 用 及 维 
护 。 


可 以 看 到 这 三 家 单位 都 是 招聘 网 络 维护 工程 师 ， 从 技能 要 求 来 看 ， 要 求 能 够 维护 具体 的 
设备 ， 能 够 操作 具体 的 服务 器 (Windows Server 或 Linux)。 因 此 在 学 校 学 的 网 络 原 理 、 操 
作 系统 ， 不 能 立刻 胜任 这 些 工 作 ， 计 算 机 专业 尚且 如 此 ， 更 不 要 说 有 志 于 投身 网 络 的 其 他 专 
业 和 社会 人 员 了 。 因 此 你 要 进一步 针对 具体 的 网 络 设备 和 服务 器 进行 学 习 ， 这 就 是 职业 IT 


培训 。 
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计算 机 专业 的 学 生 ， 刚 出 校门 ， 面 对 用 人 单位 的 要 求 ， 发 现 自己 似乎 什么 都 不 会 ， 尤 其 
是 要 求 有 经 验 ， 这 对 刚 出 校门 的 学 生 几 乎 苛刻 。 于 是 有 的 学 生 就 开始 迷茫 和 往 香 ,不 知道 从 
何 下 手 开始 学 习 。 

从 智联 招聘 100 家 企业 对 IT 人 才 的 技能 要 求 ， 同 时 结合 本 人 从 事 微软 、 思 科 等 厂家 培 
十 余年 的 经 验 ， 为 微软 正版 用 户 做 技术 支持 6 年 的 经 验 ， 这 里 将 IT 技能 进行 了 归纳 整理 。 
这 些 技能 覆盖 了 企业 对 IT 人 才 80% 以 上 的 技能 要 求 。 


IT 系统 集成 课程 涵盖 以 下 几 了 高 可 用 k 人 ©® 
方面 的 技能 : | | < i ; 
wal eo 


1. 企业 网 络 的 管理 和 维护 。 
LAG 


2. 企 服务 器 的 管理 和 维护 。 
系统 安全 避 油 调 避 
po 


3. 运行 在 这 些 服务 器 上 的 


应 用 安全 


应 用 ， 比 如 数据 库 、 Web 服 务 
器 、 邮 件 服务 器 以 及 办 公 系 统 
的 管理 和 维护 。 

4. 数据 库 管理 和 维护 。 

5. 确保 网 络 安全 。 

6. 确保 IT 系统 高 可 用 。 

7. 服务 器 虚拟 化 技能 。 


网 络 安全 二 > 


从 上 图 可 以 看 到 ， 企 业 组 建 网 络 不 是 目的 ， 目 的 是 为 了 在 网 络 上 进行 更 多 的 应 用 ， 比 如 
企业 邮件 服务 器 、 数 据 库 服务 器 、 办 公 自 动 化 网 站 、 流 媒体 服务 器 (用 来 开展 培训 ) 等 。 这 
些 应 用 需要 运行 在 Windows Server 或 Linux 服务 器 上 , 因此 你 还 要 能 够 配置 Windows Server 
和 Linux 服务 器 。 这 些 服务 器 要 想 对 用 户 提 供 服务 ， 就 要 确保 网 络 的 畅通 、 安 全 和 稳定 。 

因此 我 把 IT 技能 分 层 ， 一 个 全 面 的 IT 人 才 ， 应 该 掌握 以 下 技能 : 

(1) 能 够 维护 企业 的 局 域 网 (规划 网 络 、 划 分 VLAN)， 广 域 网 《使 企业 的 网 络 连接 到 
Internet 和 企业 远程 网 络 )。( 本 书 的 名 称 《 葛 基 计 算 机 网 络 》 有 两 个 层面 的 意思 : 
一 、 本 书 是 你 学 习 网 络 的 的 基础 ， 二 、 本 书 是 你 IT 职业 生涯 的 开始 )。 

(2) 在 服务 器 方面 的 技能 ， 你 需要 学 会 服务 器 (Windows Server 和 Linux) 的 配置 ， 网 
络 基 础 服务 的 实现 (比如 域名 解析 服务 器 、DHCP 服务 器 的 搭建 ， 远 程 访问 服务 
器 的 配置 等 等 )。 

(3) 在 这 些 服务 器 上 承载 的 各 种 企业 应 用 ， 也 需要 掌握 专门 的 技能 ， 比 如 数据 库 的 管 
理 [包括 性 能 优化 、 高 可 用 技术 数据 库 镜像 、 双 机 热 备 技术 )、 搭 建 企业 邮件 服 
务 器 (如 微软 邮件 服务 器 Exchange 2010 的 管理 ) ]。 

(4) 在 前 三 条 贯穿 始终 的 是 安全 ， 包 括 网 络 安全 、 操 作 系统 安全 、 应 用 安全 。 

(5) 在 前 三 条 贯穿 始终 的 还 有 高 可 用 ,包括 网 络 高 可 用 、 服 务 器 高 可 用 、 应 用 高 可 用 。 

(6) 还 有 虚拟 化 技术 如 微软 的 HyperV 和 VMWare 的 ESX 服务 器 )， 能 够 搭建 更 加 
灵活 的 企业 数据 中 心 ， 这 也 是 当前 主流 的 IT 技术 。 


人 Ee 
微软 Hyper-V VMWareworkstation ESX Server 
虚拟 化 技术 WWM 管理 中 心 | 物理 机 到 虚拟 机 转向 | vCenter 管 理 中 三 
网 络 安全 企业 级 高 级 防 天 二 配置 访问 规则 | 发 布 服务 疆 计 有 。 配 置 防 灭 丽 
微软 TMG 服务 器 配置 入 侵 检测 国 配置 VPN 服 务 器 到 客户 端 


SQLServer 镜 像 > Web 站 点 网 络 负载 i 
站 | Oracle 群 集 

高 可 用 技术 里 人 半生 | 均 秆 和 服务 器 志 | “ 国 

微软 SQL Serve。 oracle 数 据说。 。 失 建 企业 邮 作 系 国 

企业 应 用 管理 和 开发 | 管理 和 开发 Exchange2010 | 
服务 器 WindonsSer ) DNS DHCP RAS 活动 目录 实现 统 二 
恨 WindowsServer: Web FTP PKI 身份 验证 统一 管理 昌 
去 Ee 
TCP/IP 协 议 量 网络 设 备 配置 | 数据 交换 VPN 技 术 


以 上 列 出 的 课程 ， 是 一 个 IT 网 络 从 业 人 员 应 该 掌握 的 技能 ， 旨 在 为 计算 机 专业 的 在 校 


Linux 


服务 管理 


大 学 生 和 刚刚 参加 工作 的 人 员 ， 确 定 一 个 学 习 方向 。 你 可 以 在 任何 一 个 领域 深入 学 习 ， 比 如 
深入 学 习 数据 库 ， 可 以 做 一 个 专业 的 DBA。 
本 书 的 目标 


本 书 的 目标 就 是 让 你 胜任 企业 网 络 方面 的 工作 ， 让 你 解决 工作 中 遇 到 的 问题 ,如 果 你 打 
算 报考 计算 机 方向 研究 生 ， 这 本 书 并 不 适合 你 ， 如 果 你 打算 学 完 之 后 从 事 网 络 方面 的 工作 ， 
本 书 是 最 佳 选择 。 

《 葛 基 计算 机 网 络 》 是 一 本 讲解 计算 机 网 络 基础 的 图 书 , 但 其 内 容 并 没有 只 局 限于 计算 
机 网 络 , 还 包括 网 络 安全 、 网 络 排 错 、Windows Server 2003 搭建 网 络 服 务 器 和 使 用 Windows 
实现 的 网 络 功 能 。 

该 书 主要 面向 当前 和 未 来 的 网 络 技 术 ， 因 此 没有 过 多 地 介绍 互联 网 的 历史 ,而 是 对 下 一 
代 网 络 协议 IPv6 进行 了 详尽 的 介绍 。 该 书 没有 打算 让 读者 去 研发 TCP/IP 协议 ， 因 此 对 于 


t 


英 基 
计算 机 网 络 (修订 版 ) 


TCP/IP 封装 起 来 的 内 部 的 工作 机 制 没 有 过 多 的 讲解 ， 但 通过 在 Windows Server 2003 上 安装 
服务 和 配置 服务 器 安全 ， 使 读者 能 够 更 深入 地 理解 TCP/IP 协议 传输 层 和 应 用 层 协议 之 间 的 
关系 、 服 务 和 端口 的 关系 、 端 口 和 网 络 安全 的 关系 。 学 习 后 ， 你 将 能 够 通过 查看 建立 的 TCP 
会 话 来 检查 Windows 操作 系统 是 否 中 了 木马 , 并 使 用 IPSec 防止 木马 。 该 书 没有 打算 让 读者 
去 制造 网 卡 或 其 他 网 络 设备 ， 因 此 没有 为 你 详细 讲述 网 卡 传输 信号 的 细节 ， 也 不 会 让 你 用 复 
杂 的 公式 计算 以 太 网 数据 包 传 输 延 迟 ， 但 对 于 网 络 中 使 用 网 卡 MAC 地 址 欺骗 造成 的 网 络 故 
障 进行 了 详尽 的 讲解 ， 为 你 展示 了 使 用 捕 包工 具 捕 获 数据 包 排 除 网 络 故 障 的 方法 。 该 书 没有 
打算 让 读者 去 改进 动态 路 由 的 算法 ， 因 此 对 于 复杂 的 动态 协议 的 算法 没有 过 多 的 讲解 ,但 对 
于 各 种 动态 路 由 协议 的 适用 场景 和 特点 进行 了 详细 的 介绍 和 比较 ， 并 设计 实验 环境 供 你 体 
验 。 总 之 ， 本 书 为 你 提供 了 对 所 学 知识 操作 一 遍 的 机 会 ， 消 除 读者 对 纯 理 论 的 神秘 感 ， 所 有 
的 实验 环境 在 光盘 中 都 为 你 提供 了 。 


为 什么 写 这 本 书 


高 校 的 计算 机 网 络 教 程 大 多 偏重 理论 , 没有 针对 具体 的 网 络 设备 安排 课程 内 容 。 如 果 报 
考研 究 生 , 掌握 这 些 理论 是 必 不 可 少 的 。 本 书 中 的 案例 也 可 作为 高 校 计 算 机 网 络 的 实验 手册 ， 
这 对 于 你 深刻 理解 计算 机 网 络 中 的 理论 有 很 大 帮助 。 

再 就 是 针对 Cisco 网 络 工程 师 认 证 的 教程 (CCNA 学 习 指南 》, 是 针对 Cisco 认证 的 教材 。 
其 内 容 只 局 限于 网 络 知识 和 Cisco 路 由 器 的 操作 ， 没 有 进一步 扩展 ， 比 如 讲授 TCP/IP， 没有 
更 进一步 地 讲述 网 络 安全 ， 也 没有 讲述 在 Windows 操作 系统 上 实现 的 网 络 安全 。 再 比如 ， 
在 讲授 网 络 地址 转换 NAT 时 ， 只 讲 到 在 Cisco 路 由 器 上 实现 的 地 址 转换 ， 并 没有 讲述 在 
Windows Server 上 实现 的 NAT。 在 讲授 Cisco 路 由 器 实现 的 VPN 时 , 没有 讲述 使 用 Windows 
实现 的 VPN。 在 讲授 IPv6 时 ， 没 有 讲授 IPv4 和 IPv6 共存 技术 的 具体 实施 。 

本 人 从 事 IT 技术 培训 工作 十 余年 ， 并 多 年 从 事 微软 的 产品 技术 支持 服务 ， 在 排除 操作 
系统 和 网 络 故 障 方面 积累 了 大 量 的 经 验 。 在 讲授 CCNA 课程 时 ， 将 为 客户 排除 网 络 故 障 的 
大 量 案例 插入 合适 的 章节 ， 使 抽象 的 理论 和 实际 结合 ,在 授课 过 程 中 尽量 避免 使 用 听 起 来 高 
深 的 术语 ， 而 是 使 用 直 白 晓 畅 的 语言 进行 阐述 。 经 过 多 年 的 积累 沉淀 ， 逐 渐 形 成 自己 CCNA 
授课 的 风格 和 内 容 ， 广 受 学 员 欢 迎 ， 尤 其 是 初学 网 络 的 学 员 。 

对 于 自学 计算 机 网 络 的 学 生 ， 苦 于 没有 网 络 设备 ， 使 得 网 络 的 学 习 仅 停留 于 理论 ， 而 陷 
入 困顿 。 有 些 学 校 即便 有 网 络 设 备 , 也 很 难为 每 一 个 学 员 提 供 实验 所 需 的 网 络 环境 。 基 于 此 ， 
本 书 使 用 Packet Tracer 和 Dynamips 软件 为 读者 设计 、 搭 建 好 了 实验 环境 ， 读 者 只 需 打 开 软 
件 ， 按 着 书 上 的 步骤 验证 所 需 知识 即 可 。 


本 书 适合 i 
m ”计算 机 网 络 的 初学 者 
s 高 校 在 校生 
m ”企业 IT 员 工 
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对 读者 的 要 求 


要 求 读 者 有 使 用 网 络 的 经 验 ， 那 怕 你 会 QQ 聊天 或 网 络 偷 菜 ， 也 就 算是 有 了 学 习 本 书 的 
基础 。 


本 书 特色 


sa ”侧重 应 用 ， 尽 量 挖掘 理论 在 实践 中 的 应 用 。 

a ”使 用 路 由 器 模拟 软件 Packet Tracer 设计 实验 和 实验 步骤 。 

m Dynamips 软件 搭建 实验 环境 。 有 些 实验 Packet Tracer 不 支持 ， 就 使 用 Dynamips 
软件 模拟 真实 的 路 由 操作 系统 。 

ma ”针对 理论 设计 了 实验 环境 ， 帮 助 你 理解 理论 。 

a ”有 和 教材 相对 应 的 PPT， 适 合作 为 学 校 教材 。 

m。 光盘 中 教学 有 视频 ， 帮 助 你 自学 。 

ma ”学 习 本 书 ， 你 只 需 一 台 内 存 1GB 以 上 的 计算 机 即 可 。 


本 书 主要 内 容 


第 1 章 : 介绍 了 局 域 网 、 广 域 网 、 服 务 器 、 客 户 机 、OSI 参考 模型 、 网 络 设备 等 基本 概 
念 ! 集线器 、 交 换 机 、 路 由 器 的 功能 ， 网 卡 、 网 线 、 直 通 线 、 交 叉 线 、 全 反 线 的 应 用 场景 ; 
OSI 参考 模型 与 网 络 排 错 以 及 网 络 安 全 的 关系 ; Cisco 组 网 的 三 层 模 型 。 

第 2 章 : 详细 阐述 TCP/IP 的 层次 结构 ， 以 及 每 层 包含 的 协议 ， 讲 解 了 传输 层 两 个 协议 
一 一 TCP 和 UDP 的 应 用 场景 ， 应 用 层 协议 和 传输 层 协议 的 关系 ， 应 用 层 协 议和 服务 之 间 的 
关系 ; 演示 了 在 Windows Server 2003 上 安装 配置 FTP 服务 、Web 服务 、POP3 服务 、SMTP 
服务 和 DNS 服务 , 启用 服务 器 的 远程 桌面 , 并 且 配 置 客户 端 连接 这 些 服务 器 ; 配置 Windows 
防火 墙 保护 Windows XP 安全 和 使 用 TCP/IP 筛选 配置 服务 器 安全 ， 防 止 主动 入 侵 计算 机 ; 
配置 IPSec 严格 控制 进出 服务 器 的 数据 流量 ， 避 免 木 马 程序 造成 威胁 ; 展示 使 用 捕 包工 具 排 
除 网 络 故 障 。 

第 3 章 : 本 章 内 容 包 括 人 P 地 址 层次 结构 、IP 地 址 分 类 、 保 留 的 下 地址、 私有 地 址 、 等 
长 子 网 划分 和 变 长 子 网 划分 。 

第 4 章 : 讲述 如 何 使 用 Dynamips 软件 在 计算 机 上 运行 路 由 器 IOS， 并 搭建 本 书 的 实验 
环境 ， 然 后 在 这 个 软件 上 运行 IOS 进行 路 由 器 的 常规 配置 来 熟悉 Cisco 命令 行 界 面 ， 当 完全 
熟悉 了 这 个 界面 后 , 你 将 能 够 配置 主机 名 、 口 令 和 其 他 更 多 的 内 容 , 并 且 通 过 使 用 Cisco IOS 
来 进行 排 错 ; 使 用 安全 设备 管理 器 (SDM) 管理 路 由 器 、 恢 复 路 由 器 密码 、 升 级 和 安装 路 由 
器 IOS。 

第 5 章 : 在 本 章 中 您 将 学 习 数 据 包 路 由 的 详细 过 程 ， 以 及 网 络 能 畅通 的 必要 条 件 。 通 过 
本 章 的 学 习 , 您 将 能 够 排除 数据 包 路 由 产生 的 网 络 故 障 ， 并且 能 够 使 用 路 由 汇总 和 默认 路 由 
简化 路 由 表 的 配置 ， 你 还 能 够 在 Windows 中 配置 路 由 和 默认 路 由 。 通 过 配置 路 由 器 的 路 
表 ， 可 以 实现 网 络 的 负载 均衡 。 

第 6 章 : 本 章 讲述 配置 路 由 器 使 用 动态 路 由 协议 自动 构建 路 由 表 ; 讲述 RIP (路 由 信息 
协议 )、EIGRP 增强 内 部 网 关 路 由 协议 ) 以 及 OSPF (开放 式 最 短路 径 优先 ) 的 工作 特点 和 
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配置 方法 ; 配置 RIP 和 EIGRP 支持 变 长 子 网 和 不 连续 子 网， 配置 EIGRP 进行 手动 汇总 ， 配 
置 OSPF 协议 多 区 域 ， 在 边界 路 由 器 进行 汇总 ; 配置 路 由 再 发 布 、 将 静态 路 由 发 布 到 动态 路 
由 、 不 同 动态 路 由 协议 之 间 实 现 路 由 再 发 布 。 

第 7 章 : 本 章 介绍 交换 机 、 集 线 器 和 网 桥 设 备 的 区 别 ， 以 及 交换 机 如 何 优化 网 络 ; 介绍 
设计 高 可 用 的 交换 网 络 和 交换 机 阻 断 环 路 的 生成 树 技术 ; 交换 机 端口 安全 ; 介绍 什么 是 
VLAN (虚拟 局 域 网 )、 如 何 创建 VLAN， 以 及 将 相应 的 接口 指定 到 特定 的 VLAN， 配 置 干 
道 链 路 和 VLAN 间 路 由 ; 使 用 VIP (VLAN 间 干 道 协 议 ) 协议 简化 VLAN 管理 。 

第 8 章 : 本 章 内 容 包括 从 OSI 参考 模型 来 看 网 络 安 全 , 典型 的 安全 网 络 架构 , 安全 威胁 ， 
标准 访问 控制 列表 ， 扩 展 访问 控制 列表 ， 使 用 访问 控制 列 保护 路 由 器 安全 ， 基 于 时 间 的 访问 
控制 列表 ， 使 用 ACL 降低 安全 威胁 。 

第 9 章 : 本 章 介 绍 网 络 地 址 转换 (Network Address Translation，NAT)、 动 态 网 络 地 址 转 
换 和 端口 地 址 转换 (Port Address Translation，PAT)，PAT 也 称 为 网 络 地 址 转换 复 用 ; 介绍 
NAT、PAT 和 端口 映射 的 应 用 场景 以 及 配置 方法 ;演示 了 使 用 Windows XP 配置 连接 共享 实 
现 NAT 和 端口 映射 、 在 Windows Server 2003 上 配置 NAT 和 端口 映射 。 

第 10 章 : 本 章 介绍 IPv6 相 较 现在 的 中 有 哪些 方面 的 改进 ，IPv6 的 地 址 体系 ，IPv6 下 
的 计算 机 地 址 配置 方式 ，IPv6 的 静态 路 由 和 动态 路 由 ， 支 持 IPv6 的 动态 路 由 协议 RIPng、 
EIGRPv6 和 OSPF 协议 v3 的 配置 ，IPv6 和 IPv4 共存 技术 、 双 协议 栈 技 术 、6 to 4 的 隧道 技 
术 、ISATAP 隧道 和 NATLPT 技术 。 

第 11 章 : 本 章 主要 为 大 家 介绍 广域网 使 用 的 协议 ， 重 点 讲授 广域网 协议 HDLC、PPP 
和 帧 中 继 。 同 时 给 还 会 介绍 VPN 的 配置 ， 使 用 Cisco 路 由 器 和 Windows Server 2003 配置 为 
远程 访问 服务 器 。 

第 12 章 : 网 络 排 错 和 IP 地 址 自动 分 配 ， 本 章 以 一 台 计 算 机 不 能 访问 Intemet 为 例 ， 讲 
述 了 网 络 网 络 排 错 的 一 般 步 又， 讲解 了 如 何 配置 路 由 器 支持 跨 网 段 分 配 卫 地 址 。 


致 谢 


河北 师范 大 学 软件 学 院 采 用 “ 校 企 合作 ”的 办 学 模式 。 在 课程 体系 设计 上 与 市 场 接轨 ; 
在 教师 的 使 用 上 ， 大 量 聘 用 来 自 企业 一 线 的 工程 师 ; 在 教材 及 实验 手册 建设 上 ， 结 合 国内 优 
秀 教材 的 知识 体系 ， 大 胆 创新 ， 开 发 了 一 系列 理论 与 实践 相 结合 的 教材 (本 教材 即 是 其 中 一 
本 )。 在 学 院 新 颖 模式 培养 下 ， 百 余 名 学 生 进入 知名 企业 实习 或 已 签订 就 业 合 同 ， 得 到 了 用 
人 企业 的 广泛 认可 。 这 些 改 革 及 成 果 的 取得 ,首先 要 感谢 河北 师范 大 学 校长 蒋 春 澜 教授 的 大 
力 支持 和 鼓励 ， 同 时 还 要 感谢 河北 师范 大 学 校 党 委 对 这 一 办 学 模式 的 肯定 与 关心 。 

在 本 书 整 理 完成 的 过 程 中 ,对 河北 师范 大 学 数 信 学 院 院 长 邓 明 立 教授 、 软 件 学 院 副 院 长 
赵 书 良 教授 以 及 李 文 斌 副教授 表示 真诚 的 谢意 ， 是 他 们 为 本 书 的 写作 提供 了 一 个 良好 的 环 
境 ， 是 他 们 为 本 书 内 容 的 教学 实践 保驾 护航 。 他 们 与 编著 者 关于 教学 的 沟通 与 交流 为 本 书 提 
供 了 丰富 的 案例 和 建议 。 感 谢 河北 师范 大 学 软件 学 院 教学 团队 中 的 每 一 位 成 员 ,， 还 要 感谢 河 
北 师范 大 学 软件 学 院 每 一 位 学 生 ， 是 他 们 的 友好 、 热 情 、 帮 助 和 关心 促使 本 书 的 形成 。 

最 后 ， 感 谢 我 的 家 人 在 本 书 创 作 过 程 中 给 予 的 支持 与 理解 。 
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QQ: 458717185 
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本 书 视频 教程 完善 ， 通 俗 易 懂 ， 能 够 减少 你 报 培训 班 的 费用 ， 你 可 以 反复 按照 视频 做 练 
习 。 唯 一 与 参加 培训 的 之 处 就 是 你 有 了 问题 ， 没 有 办 法 向 老师 请 教 ， 为 弥补 这 一 缺陷 ， 本 书 
为 你 提供 QQ 在 线 答疑 。 同 时 为 广大 读者 提供 学 习 过 程 中 需要 的 各 种 资源 。 

作者 QQ: 458717185， 欢 迎 广大 读者 提问 ， 必 将 百 问 不 厌 。 
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读者 评价 


本 书 自 出 版 以 来 ， 收 到 
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实用 型 网 络 书 。 少 理论 ， 多 应 用 不 错 。。 

千 药 会 昔 池 生 要 

这 条 评论 对 外 有 用 吗 ? [让 [ED 


元 吉 吉 克 友 ” 书 本 不 错 ， 朋 友 推 荐 的 ， 简 单 看 了 下 ， 很 好 ! ，2012 年 7 月 


这 到 上 2 ) 
天 : 计 得 析 天 竺 (时 DVD 光盘 ) (于 可 

这 本 书写 的 还 是 比较 全 面 的 ， 很 适合 初 入 网 管 行业 的 朋友 看 
要 的 扫 要 学 生 王 

这 条 评论 对 名 有 用 吗 ? 【 是] [天 


9 


各 杂乱 详 组 © Wiis 

attott Pe #0 ed 
-二 

Be ERA 


这 本 的 和 和 而 村 坚硬 的 要 站 尖 全 


© © 


开 首 有 新 


让 TD 14 本 


上 人 
说 的 -二 所 


在 下 HE 二 是 下 肽 ,所 和 过 的 好。 
作为 看 
并且 世 二 SE 队伍 的 人 人马 才 。 
六， 二 学， 这 作品 时 
下 Ra 此 ,而且 开 权 i 它 的 上 进行 说 贡 之 
一 司 坷 此 下 字 记 阳 ， 计生 志士 要 ， 


第 让 章 ， 计 年 机 网 络 5 ssseaaaace 
1.1 Intemet 概览 
1.1.1 Intemet 示意 图 
1.1.2 国内 Intemet 骨干 网 .… 
1.1.3 ”本 书 涉及 的 主要 技术 .. 
1.2 ”本 书 涉及 的 几 个 概念 … 
1.2.1 局域网 和 广域网 .. i 
1.2.2 ”服务 器 和 客户 机 时 
1.3 网 际 互联 模型 .. 
1.3.1 分 层 的 方 > 
1.3.2 参考 模型 的 优点 
1.3.3 OSI 的 分 组 .…… 本 
14 理解 OSI 参考 模型 .1 
1.4.1 实例: 应 用 程 上 
带 林 的 奈 烦 Se 加 
1.4.2 ”OSI 参考 模型 与 排 错 
1.4.3 ”通过 建立 的 会 话 查 看 木马 


二 


1.5.5 路 由 器 
1.6 数据 封装 
1.7.1 半 双 工 和 全 双 工 以 太 网 
1.7.2 设置 网 卡 的 双 工 模式 
1.8 Cisco 组 网 三 层 模型 - 
1.8.1 ”核心 展 .ns 30 
1.8.2 汇聚 层 


1.8.4 高 可 用 网 络 设计 .. 


2.1 OSI 和 DoD 模型 . 


录 


p25 OO 38 
2.2.1 ”传输 控制 协议 …- 
2.2.2 用户 数据 报 协议 . 


230 屿 用 局 多 克 。R 40 
2.3.1 应 用 层 协议 和 传输 层 协议 
5 


2.3.2 ”应 用 层 协议 和 服务 的 关系 
2.3.3 示例 1: 查看 远程 桌面 侦 听 


2.3.4 示例 2: 端口 冲突 造成 服务 


2.4 应 用 层 协议 和 服务 . 
2.4.1 在 Windows Server 2003 
下 安心 服 务 osmosis 有 
2.4.2 配置 FTP 服务 器 .ee 48 
2.4.3 配置 Web 服务 器 .ee 52 
2.4.4 配置 SMTP 服务 和 POP3 服务 ..55 
2.4.5 启用 远程 桌面 且 更 改 默认 端口 .63 
2.4.6 配置 DNS 服务 器 .es 66 
2.5 配置 服务 器 网 络 安全 
2.5.1 端口 扫描 


2.5.2 ”使 用 Telnet 排除 网 络 故障 .………. 而 
2.5.3 ”Windows 防火 墙 保护 客户 端 
We 2 
2.5.4 使 用 TCP/IP 筛选 保护 服务 器 
| 76 
2.5.5 使 用 IPSec 保护 服务 器 安全 .…..80 
36 网 络 层 协 没 wn 91 
2.6.1 卫 协议 92 


2.6.2 ICMP 协议 .. 
2.6.3 IGMP 协议 .. 


2.7 使 用 捕 包 工具 排除 网 络 故障 ………- 
2.7.1 示例 : 查看 谁 在 发 送 广播 包 …105 


英 基 
计算 机 网 络 (修订 上 ) 


第 3 章 


理解 他 地 址 
下 地 址 组 成 


各 1 


3.2.1 
322 
3.2.3 
3.2.4 
325 


3.3.1 


333 


A 类 网 络 子 网 划分 .. 
3.3” 变 长 子 网 划分 


第 4 章 Cisco 10S . 
Cisco 路 由 器 的 硬件 和 IOS 


等 长 子 网 划分 . 
判断 下 地 址 所 属 的 网 段 .. 


示例 : 变 长 子 网 划分 


合并 网 络 的 规 和 


4.1.1 Cisco 路 由 器 的 硬件 分 类 .……… 
4.1.2 Cisco 路 由 器 的 主要 组 件 ……… 


4.1.3 


4.2 ”连接 到 路 由 器 进行 配置 ………… 


路 由 器 IOS 命名 


使 用 超级 终端 配置 路 由 器 ……143 


4.2.1 
4.2.2 ”使 用 超级 终端 Telnet 路 由 器 .…144 
43 ”路 由 器 的 常规 配置 .… 
4.3.1 实验 环境 和 要 i 
4.3.2 ”使 用 Packet Tracer 搭建 实验 
环 挤 :0 147 
4.3.3 查看 路 由 器 信息 .……… 
4.3.4 配置 路 由 器 的 全 局 参数 152 
4.3.5 配置 路 由 器 的 接口 有 
4.3.6 配置 路 由 器 允许 通过 Telnet 
ee 156 
4.3.7 查看 、 保 在 和 删除 路 由 器 配置 157 
8 国人 159 


4.4 Cisco 命令 行 帮助 功能 se 
4.4.1 ”使 用 帮助 功能 和 命令 简写 …… 

4.5 习题 …. 
第 5 章 


5.1.1 配置 静态 路 由 . 
5.1.2 ”删除 静态 路 由 


59 由 
5.2.1 通过 路 由 汇总 简化 路 由 表 ……172 


5.2.2 ”路 由 汇总 例外 
5.2.3 ”无 类 域 间 路 由 (CIDR) . 


533 


5.3.4 

5.4 总 结 

5.5 实验 

5.5.1 实验 1: 静态 路 由 

5.5.2 ”实验 2: 使 用 默认 路 由 i 
5.5.3 ”实验 3， 使 用 默认 路 由 和 路 

3 185 


6.2.1 RIP 的 配置 过 程 .. 
6.2.2 RIPvl 和 RIPV2... 
6.3 ”EIGRP 协议 


6.3.1 EIGRP 的 配置 过 程 

6.3.2 关闭 EIGRP 的 自动 汇总 ………200 
6.3.3 ”查看 EIGRP 的 配置 和 路 由 表 ..200 
6.3.4 ”EIGRP 手动 汇总 .201 
6.3.5 确认 EIGRP 选择 的 最 佳 路 径 ..201 
6.3.6 查看 EIGRP 的 备用 路 径 .……… 202 


6.3.7 查看 EIGRP 邻居 
6.3.8 ”显示 EIGRP 协议 活 亏 
6.3.9 更 改 EIGRP 的 默认 设置 


7.3 交换 机 端口 安全 
7.3.1 端口 和 MAC 地 址 绑 定 本 
7.3.2 ”控制 端口 连接 计算 机 的 数量 …241 


本 SR 移入 RRA. VENDN sd 241 
6.4.1 OSPF 相关 术语 7.4.1 什么 是 VLAN 


6.4.2 支持 多 区 域 . 
6.4.3 ”OSPF 的 network 参数 
6.4.4 
6.4.5 
6.4.6 查看 OSPF 链 路 状态 数据 
6.4.7 测试 OSPF 收敛 速度 .…… 


207 7.4.2 ”创建 和 管理 VLAN .. 
7.4.3 ”器 交 换 机 的 VLAN.. 
7.4.4 ”配置 干道 链 路 . 


和 人 SEE 多 区 域 de 7.5 配置 VLAN 间 路 由 .es 
6.5 RIP、EIGRP 和 OSPF 协议 的 对 比 ..215 7.5.1 单 臂 路 由 器 实现 VLAN 间 路 由 252 
6.5.1 路 由 协议 的 类 型 7.5.2 多 层 交 换 机 实现 VLAN 间 路 由 254 


6.5.2 ”路 由 协议 的 优先 级 7.6 习题 .… 


6.5.3 ”验证 路 由 协议 的 优先 级 第 8 章 网络 安 全 
8 网络 安 全 从 闪 Go 260 
8.1.1 从 OSI 参考 模型 来 看 网 络 安全 260 
OO 25 8.1.2 ”典型 的 安全 网 络 架 构 .… 
6.6.2 ”实验 2: 配置 RIPv2 支持 不 连 8.1.3 ”防火 墙 的 种 类 . 
续 也 网 strani ri 220 8.1.4 常见 的 安全 威胁 . 


6.6.3 实验 3: 配置 EIGRP 手动 汇总 221 8.2 访问 控制 列表 
6.6.4 实验 4: OSPF 排 错 …………………… 223 8.2.1 标准 访问 控制 列 3 


8.2.2 ”扩展 访问 控制 列表 
8.2.3 ”使 用 访问 控制 列表 保护 路 由 .…270 
8.3 ”访问 控制 列表 的 位 置 
230 8.4 习题 
第 9 章 NAT.… 
92 本 9.1 网 络 地 址 转换 技术 简介 … 
7.1.3 交换 机 和 9.1.1 NAT 的 应 用 场景 
7.1.4 查看 交换 机 的 MAC 地 址 表 .….231 9.1.2 NAT 的 类 型 ..… 
7.1.5 交换 机 上 配置 监控 端口 ……… 232 9.2 ”实现 网 络 地 址 转换 .. 
7.2 ”生成 树 协议 9.2.1 配置 静态 NAT.… 
7.2.1 生成 树 协议 9.2.2 配置 动态 NAT 


7.1 局 域 网 组 网 设备 .. 
TL 


7.2.2 ”生成 树 术语 . 9.2.3 配置 PAT 芭 
7.2.3 ”生成 树 的 操作 224 配置 端 日 陕 吊 ssw:282 
7.2.4 生成 树 的 端口 状态 9.3 在 Windows 上 实现 网 络 地 址 转换 

7.2.5 ”确认 和 更 改 根 桥 和 端口 映射 285 


7.2.6 关闭 VLAN 1 的 生成 树 


11 


英 基 
计算 机 网 络 (修订 版 ) 


9.3.1 在 Windows XP 上 配置 连接 


共享 和 端口 映射 ……………………… 285 
9.3.2 在 Windows Server 2003 上 配置 
网 络 地 址 转换 和 端口 映射 …… 


9.4 动手 实验 


第 10 章 IPv6 
10.1 为 什么 需要 IPv6 i 
10.1.1 “IPv4 的 不 足 之 处 .….…….296 
10.1.2 ”IPv6 的 改进 … 
10.1.3 JIPv6 协议 栈 和 
10.1.4 ICMPv6 协议 的 功能 …………:299 
102 IEv6 寻 直 om 
10.2.1 IPv6 寻 址 及 表达 式 . 
10.2.2 IPv6 的 地 址 类 型 . 
10.2.3 ”IPv6 中 特殊 的 地 址 
10.2.4 JIPv6 计算 机 地 址 配置 
10.3 配置 IPv6 路 由 
10.3.1 配置 IPv6 静态 路 由 二 
10.3.2 配置 RIPng 支持 IPv6 .………… 310 
10.3.3 配置 EIGRPv6 支持 IPv6 .……312 
10.3.4 配置 OSPFv3 支持 IPv6 .……- 314 
104 习 册 de 317 


第 补 半 广域网 meri 
11.1 广域网 简介 
11.1.1 广域网 术语 
11.1.2 广域网 连接 类 型 
11.1.3 通用 的 广域网 协议 . 
11.2 典型 的 广域网 协议 
11.2.1 HDLC 
11.2.2 点 到 点 PPP 攻 
23 请 中 继 ee 
11.3 ”虚拟 专用 网 
11.3.1 VPN 使 用 的 广域网 协 册 
11.3.2 配置 Windows 服务 器 为 VPN 
服务 器 .. 
11.4 习题 ….…… 
第 12 章 网络 排 错 和 地 址 自动 分 配 . 
12.1 网 络 排 错 . 
12.1.1 网 络 排 错 二 
12.1.2 网络 排 错案 例 . 
12.2 也 地址 自动 分 配方 案 . 
12.2.1 配置 路 由 器 支持 跨 网 段 分配 
IP 地 址 

12.3 习题 


第 1 章 计算 机 网 络 


本 章 介 绍 了 局 域 网、 广域网 服务器、 客户 机 、OSI 参考 模型 、 网 络 设 
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区 玉 硬 Internet 概览 


Internet 正在 越 来 越 深刻 地 影响 着 我 们 的 生活 。 我 国 广大 网 民 大 多 使 用 ADSL 接 入 
Internet， 通 过 Internet 我 们 可 以 用 QQ 和 远方 的 朋友 视频 语音 聊天 ， 在 线 看 电影 ， 学 习 ， 看 
新 闻 ， 看 网 站 。 可 以 通过 百度 查找 资料 ， 通 过 淘宝 网 购物 ， 通 过 网 银 转账 、 交 话费 ， 网 上 购 
票 ， 远 程 监控 ， 发 送 电 子 邮 件 等 应 用 。 

通过 本 节 你 将 会 明白 你 是 如 何 通 过 家 里 的 ADSL 连接 到 Intemet， 以 及 访问 托管 在 互联 
网 服务 提供 商 (ISP 一 一 Intemet Service Provider) 的 机 房 中 的 服务 器 ， 以 及 企业 机 房 如 何 接 
入 到 Internet。 


1.1.1 Internet 示意 图 


Internet 是 全 球 网 络 ， 在 中 国 主 
要 有 三 家 基础 互联 网 服务 提供 商 ， 《人 C 中 国电 入 全 ww 
向 广大 用 户 综合 提供 互联 网 接 入 业 Pr 中 国 移动 通信 全 饭 * 履 杰 全 下 
务 、 信 息 业 务 和 增值 业务 如 图 1-1 CE 
所 示 。 全 图 1-1 中 国 三 大 基础 运营 商 

" ”中国 电信: 拨号 上 网 、ADSL、1X、CDMA1X、EVDO rev.A、EFTTx。 

" ”中 国 移动 : GPRS 及 EDGE 无线 上 网 、TD-SCDMA 无 线 上 网 ， 一 少 部 分 FTTx。 

"中国 联通 : GPRS，W-CDMA 无 线 上 网 、 拨 号 上 网 、ADSL、FTTx。 

下 面 使 用 电信 和 网 通 两 个 ISP 为 例 ， 为 你 展现 Internet 的 一 个 局 部 组 成 。 图 1-2 中 所 示 
网 站 的 连接 纯 属 虚构 。 

首先 来 介绍 Internet 接 入 ， 无 论 在 农村 还 是 城市 ， 电 话 已 经 普及 ， 网 通 和 电信 利用 现 有 
的 电话 网 络 可 以 方便 地 为 用 户 提供 Intemet 接 入 服务 ， 当 然 需 要 使 用 ADSL 调制 解 调 器 连接 
计算 机 和 电话 线 。 如 图 1-2， 青 园 小 区 用 户 使 用 ADSL 连接 到 中 心 局 ， 通 过 中 心 局 连接 到 电 
信 运 营 商 , 红星 小 区 使 用 ADSL 连接 到 网 通 运 营 商 。 因 为 广大 网 民主 要 是 浏览 网 页 、 下 载 视 
频 ， 主 要 是 从 Intemet 获取 信息 ，ADSL 就 是 针对 这 类 应 用 设计 的 ， 即 下 载 速度 快 ， 上 传 速 
度 慢 。 

如 果 企 业 的 网 络 需 要 接 入 Internet， 可 以 使 用 光纤 直接 接 入 。 可 以 为 企业 服务 器 分 配 公 
网 地 址 ， 企 业 的 网 络 就 成 为 Intemet 的 一 部 分 。 


如 果 某 个 公司 的 网 站 需要 为 网 民 提 供 服 务 ， 比 如 淘宝 网 、 百 度 、 银 河和 搜狐 网 站 
服务 器 以 及 QQ 服务 器 等 ， 需 要 托管 在 网 通 和 电信 的 机 房 ， 提 供 7x 24 小 时 的 高 


可 用 服务 。 机 房 不 能 轻易 停电 ， 需 要 保持 无 侍 环境 ， 温 度 、 湿 度 、 防 火 装 置 都 有 
要 求 ， 总 之 和 你 家 的 电脑 待遇 不 一 样 。 
如 图 1-2 所 示 ， 电 信和 运营 商 和 网 通 运营 商 之 间 使 用 10G 的 线路 连接 ， 虽 然 带宽 很 高 ， 但 
其 承载 了 所 有 网 通 访问 电信 的 流量 以 及 电信 访问 网 通 的 流量 ， 因 此 还 是 显得 拥堵 。 青 园 小 区 
的 用 户 访问 搜狐 网 站 速度 快 , 但 是 访问 网 通 机 房 银河 网 站 速度 就 会 显得 慢 。 怪 不 得 网 络 上 有 
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这 样 一 句 话 :“ 世 界 上 最 远 的 距离 不 是 南极 和 北极 ， 而 是 网 通 和 电信 的 距离 ”。 

为 了 解决 跨 运 营 商 访问 网 速 慢 的 问题 , 你 可 以 把 公司 的 服务 器 托管 在 双 线 机 房 ， 即 同时 
连接 网 通 和 电信 的 机 房 ， 如 图 1-3 所 示 的 百度 网 站 和 淘宝 网 服务 器 。 这 样 网 通 和 电信 的 网 民 
访问 此 类 网 站 ， 速 度 没有 差别 。 


有 些 Web 站 点 可 
以 有 多 个 镜像 站 点 , 比 
如 图 1-3 中 的 天 空 网 
站 , 在 电信 和 网 通 机 房 
分 别 托管 一 个 Web 服 
务 器 , 网 站 内 容 一 模 一 
样 , 对 用 户 来 说 就 是 一 
个 网 站 。 可 以 让 用 户 选 
择 从 什么 网 站 下 载 。 比 
如 从 天 空 网 站 下 载 软 
件 , 你 可 以 根据 自己 所 
属 的 ISP 运营 商 选择 
从 电信 还 是 网 通 下 载 。 


【3 Sa 
百度 网 


人 图 1-2 Internet 示意 图 
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滨 用 图 首页 江西 科 语 T 载 
了 图 刀 工大 拓 联 通 T 载 国 
秒 动 长 宣 下 载 点 | 
图 重庆 车 动 F 络 下载 。 。” 国 天 六 长 网 络 下 载 。 。 国 广东 深圳 长 训 下 载 
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全 图 1-3 天 空 网 站 的 镜像 站 点 


通过 本 书 的 学 习 ， 你 平时 上 网 过 程 中 的 众多 困惑 将 会 找到 答案 。 


1.1.2 国内 Internet 骨干 网 


以 上 对 网 通 、 电 信 两 大 运营 商 、ADSL 用 户 以 及 企业 接 入 Internet 做 了 示意 讲解 。 下 面 
将 全 面 介绍 我 国 Internet 骨干 网 。 
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骨干 网 是 国家 批准 的 可 以 直接 和 国外 连接 的 城市 级 高 速 互联 网 , 它 由 所 有 用 户 共享 , 负 
责 传输 大 范围 (在 城市 之 间 和 国家 之 间 ) 的 骨干 数据 流 。 骨 干 网 基于 光纤 ， 通 常 采 用 高 速 传 
输 网 络 传输 数据 ， 用 高 速 包 交 换 设 备 提供 网 络 路 由 。 建设、 维护 和 运营 骨干 网 的 公司 或 单位 
就 被 称 为 Internet 运营 机 构 〈 也 称 为 Internet 供应 商 )。 不 同 的 Internet 运营 机 构 拥有 各 自 的 
骨干 网 ， 以 独立 于 其 他 供应 商 。 国 内 各 种 用 户 想 连 到 国外 都 得 通过 这 些 骨 干 网 。 我 国 现 有 
Intemet 骨干 网 互联 情况 及 出 口 带 宽 如 图 1-4 所 示 。 


人 国际 Internet 1 出 口 带宽 867M 
0 
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国家 互联 网 上 


1490M 4214M 


中 国 长 城 互联 网 
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建设 中 | 建设 中 

本 1 出 口 带 宽 2M 

全 图 1-4 我 国 现 有 Internet 骨干 互联 图 

(1) 中 国 科技 网 《CSTNET) 由 中 国 科 学 院 计 算 机 网 络 信息 中 心 运行 和 管理 ， 始 建 于 
1989 年 ， 于 1994 年 4 月 首次 实现 了 我 国 与 国际 互联 网 络 的 直接 连接 ， 为 非 营 利 、 公 益 性 的 
国家 级 网 络 ， 也 是 国家 知识 创新 工程 的 基础 设施 。 主 要 为 科技 界 、 科 技 管理 部 门 、 政 府 部 门 
和 高 新 技术 企业 服务 。 

(2) 中 国 公 用 计算 机 互联 网 (CHINANET) 由 中 国电 信 部 门 经 营 管理 的 中 国 公用 计算 
机 互联 网 的 骨干 网 ， 于 1994 年 成 立 ， 现 已 基本 覆盖 全 国 所 有 地 市 ， 并 与 中 国 公用 分 组 交换 
数据 网 (CHINAPAC)、 中 国 公 用 数字 数据 网 CCHINADDN)、 帧 中 继 网 、 中 国 公 用 电话 网 
(PSTN) 和 中 国 公用 电子 信箱 系统 (CHINAMAIL) 互 连 互通 。 作 为 中 国 最 大 的 Internet 接 
入 单位 ， 为 中 国 用 户 提供 Internet 接 入 服务 。 

(3) 中 国教 育 和 科研 计算 机 网 (CERNET) 由 国家 投资 建设 ， 教 育 部 负责 管理 ， 清 华 
大 学 等 高 等 学 校 承担 建设 和 运行 的 全 国 性 学 术 计算 机 互联 网 络 , 是 全 国 最 大 的 公益 性 计算 机 
互联 网 络 。CERNET 始 建 于 1994 年 ， 是 全 国 第 一 个 IPv4 主干 网 。CERNET 全 国 中 心目 前 设 
在 清华 大 学 。CERNET 目前 联网 大 学 、 教育 机 构 、 科 研 单位 , 是 我 国教 育 信息 化 的 基础 平台 。 

(4) 中 国联 通 计算 机 互联 网 CUNINET) 由 中 国联 通 经 营 管理 ， 是 经 国务 院 批准 ， 直 接 
进行 国际 联网 的 经 营 性 网 络 ， 面 向 全 国 公众 提供 互联 网 络 服务 。UNINET 是 架构 在 联通 宽带 
ATM 骨干 网 基础 上 的 他 承载 网 络 , 具有 先进 性 、 综 合 性 、 统 一 性 、 安 全 性 及 全 国 漫 游 的 特点 。 

(5) 中 国 网 通 公用 互联 网 CCNCNET) 由 中 国 网 络 通信 有 限 公 司 从 1999 年 8 月 开始 建 
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设 和 运营 ， 是 在 我 国 率先 采用 IP/DWDM 优化 光 通信 技术 建设 的 的 全 国 性 高 速 宽 带 IP 骨干 
网 络 ， 承 载 包括 语音 、 数 据 、 视 频 等 在 内 的 综合 业务 及 增值 服务 ， 并 实现 各 种 业务 网 络 的 无 
颖 连接 。2002 年 5 月 16 日 中国 网 络 通 信 (控股 ) 有 限 公 司 ， 以 及 原 中 国电 信和 集团 公司 及 
其 所 属 北方 10 省 (区 、 市 ) 电信 公司 和 吉 通 通信 有 限 责任 公司 组 建成 立 了 中 国 网 络 通信 和 集 
团 公司 ， 简 称 “ 中 国 网 通 ”， 后 与 联通 合并 。 
(6) 中 国 国 际 经 济 贸 易 互 联网 CCIETNET) 由 1996 年 成 立 的 中 国 国 际 电 子 商 务 中 心 
(China International Electronic Commerce Center， 简 称 CIECC) 组 建 运营 ， 是 我 国 唯一 的 面 
向 全 国 经 贸 系 统 企 、 事 业 单 位 的 专用 互联 网 。CIECC 是 国家 级 全 程 电子 商务 服务 机 构 ， 是 国 
际 电子 商务 开发 与 应 用 的 先行 者 ， 是 中 国 十 大 国际 互联 网 接 入 单位 之 一 。 它 还 建设 运营 国家 
“ 金 关 工程 ”骨干 网 一 一 中 国 国际 电子 商务 网 。 

(7) 中 国 长 城 网 《CGWNET) 军队 专用 网 ， 属 公益 性 互联 网 络 。 

(8) 中 国 移动 互联 网 CCMNET) 由 中 国 移动 自 2000 年 1 月 开始 组 建 ， 是 全 国 性 的 、 
以 带宽 人 P 技术 为 核心 的 ， 可 同时 提供 语音 、 图 像 、 数 据 、 多 媒体 等 高 品质 信息 服务 的 开放 
型 电信 网 络 ， 属 经 营 性 互联 网 络 。 

(9) 中 国 卫星 集团 互联 网 (CSNET) 由 中 国 卫 星 通 信 集 团 建设 。 


1.1.3 ”本 书 涉及 的 主要 技术 


本 书 虽 是 计算 机 网 络 的 入 门 图 书 , 但 是 内 容 却 涉及 到 局 域 网 和 广域网 以 及 网 络 安全 等 主 
流 的 网 络 技术 。 
本 书 涉及 到 的 技术 如 图 1-5 所 示 。 


地 
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石家庄 车 辆 厂 局 域 网 
全 图 1-5 本 书 涉及 的 主要 技术 
(1) 如 果 你 是 企业 网 络 管理 员 , 本 书 将 会 告诉 你 如 何 组 建 和 管理 企业 局 域 网 , 规划 网 络 ， 
部 署 服务 器 ， 按 部 门 创 建 VLAN， 实 现 VLAN 间 路 由 ， 设 置 网 络 安全 规则 ， 能 够 将 企业 局 
域 网 通过 NAT 技术 连接 到 Intemet， 并 能 够 控制 进出 企业 网 络 的 流量 ， 同 时 也 能 够 配置 端口 
映射 使 Intemet 上 的 用 户 能 够 访问 企业 内 外 的 服务 器 ， 同 时 也 会 告诉 你 如 排除 网 络 故 障 。 
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(2) 如 果 你 是 在 较 大 规模 网 络 ISP 工作 的 网 络 管理 员 ， 本 书 将 会 告诉 你 如 何 规划 卫 地 
址 ， 划 分 子 网 和 超 网 ， 配 置 路 由 器 ， 使 用 动态 路 由 协议 〈 比 如 EIGRP 或 OSPF 协议 ) 为 数 
据 通 信 选 择 最 佳 路 径 。 你 将 会 使 用 数据 包 跟踪 工具 排除 网 络 故障 。 

(3) 如 果 你 是 某 公司 的 网 站 维护 人 员 ， 通 过 学 习 计 算 机 通信 原理 以 及 TCP/IP 协议 ， 你 
将 能 够 保证 托管 在 网 通 或 电信 机 房 服务 器 的 网 络 安全 ， 使 用 TCP/IP 筛选 ， 以 及 IPSec 严格 
控制 出 入 服务 器 的 数据 流量 ， 防 止 主动 入 侵 和 木马 造成 的 安全 威胁 。 

(4) 如 果 你 是 普通 的 家 庭 上 网 用 户 ， 本 书 将 会 告诉 你 如 何 设置 计算 机 保护 上 网 安全 ， 查 
看 计算 机 是 否 中 了 木马 ， 以 及 如 何 排除 上 网 故障 ， 如 何 通过 代理 服务 器 绕 过 防火 墙 。 

(5) 如 果 你 是 出 差 在 外 地 的 员工 ， 本 书 将 会 告诉 你 如 何 使 用 VPN 拨号 访问 企业 内 网 ， 
同时 也 会 告诉 你 如 何 配 置 路 由 器 和 Windows Server 2003 作为 远程 访问 服务 器 。 

(6) 如 果 你 对 下 一 代 互联 网 IPv6 充满 了 兴趣 ， 本 书 将 会 展示 IPv6 的 新 增 功能 ， 实 现 
IPv4 向 IPv6 过 渡 时 用 到 的 双 协 议 栈 、6to4 隧道 、ISATAP 隧道 以 及 NAT-PT 四 种 主流 技术 。 


医 琵 对 本 书 涉及 的 几 个 概念 


下 面 介 绍 本 书 涉及 的 几 个 概念 ， 其 中 涉及 局 域 网 和 广域网 ， 服 务 器 和 客户 机 。 
1.2.1 局 域 网 和 广域网 


在 讲解 网 络 理论 之 前 ， 先 看 看 石家庄 车 辆 厂 的 网 络 拓扑 。 石 家 庄 车 辆 厂 分 为 南车 石家庄 
车 辆 厂 和 北 车 唐山 车 辆 厂 , 都 有 自己 的 局 域 网 ,而 访问 Intemet 的 出 口 在 南车 石家庄 车 辆 厂 ， 
如 图 1-6 所 示 。 

车 辆 厂 局 域 网 和 广域网 连接 


北 车 唐山 车 辆 厂 局 域 网 ， 
人 


Internet ， 


南车 石家庄 车 辆 厂 
局 域 网 


全 图 1-6 车 辆 厂 网 络 拓扑 图 
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南车 和 北 车 分 别 位 于 石家庄 市 和 唐山 市 , 该 公司 不 可 能 自己 布线 将 两 个 城市 的 局 域 网 连 
接 起 来 ， 因 此 租用 网 通 的 帧 中 继 连 接 ， 其 租用 的 带宽 为 2M。 
现在 企业 局 域 网 使 用 的 设备 主要 是 交换 机 和 三 层 交 换 机 ， 三 层 交 换 机 实现 企业 VLAN 
间 的 路 由 。 局 域 网 的 带宽 为 10M、100M 和 1000M 几 个 标准 。 
路 由 器 用 来 连接 广域网 ， 因 为 路 由 器 有 广域网 接口 ， 可 以 和 网 通 或 电信 的 广域网 线路 
连接 。 
结合 以 上 实例 来 理解 一 下 局 域 网 和 广域网 及 其 区 别 。 
" ”局 域 网 一 般 企业 自己 购买 设备 ,将 物理 位 置 较 近 办 公 区 的 计算 机 使 用 网 络 设备 连 
接 起 来 , 一 般 履 盖 范 围 是 几 千 米 以 内 。 局 域 网 使 用 的 网 络 设备 有 集线器 或 交换 机 ， 
带宽 为 10M、100M 和 1000M 这 几 个 标准 ， 而 使 用 无 线 连接 的 局 域 网 带宽 标准 则 
为 54M。 
" ”广域网 一 般 企业 租用 网 通 或 电信 的 线路 ， 通 常 跨 接 的 范围 从 几 十 公里 到 几 千 公 
里 ， 它 能 连接 多 个 城市 或 国家 。 广 域 网 的 带宽 由 企业 所 付 的 费用 决定 ， 比 如 我 们 
上 网 的 ADSL 就 是 租用 网 通 或 电信 的 服务 ， 带 宽 有 1M、2M 和 4M 几 个 标准 。 


广域网 和 局 域 网 的 划分 有 时 候 也 不 是 单纯 从 距离 上 划分 的 。 比 如 你 和 邻居 都 分 别 
使 用 ADSL 访问 Internet， 当 你 访问 邻居 的 计算 机 共享 文件 或 其 他 资源 的 时 候 ， 
你 的 计算 机 和 邻居 的 计算 机 就 是 广域网 连接 ,因为 你 们 是 通过 用 租 网 通 或 电信 提 


供 的 服务 连接 的 。 如 果 你 和 邻居 的 计算 机 使 用 网 线 直 接连 接 ， 则 是 局 域 网 连接 。 
再 比如 一 个 企业 的 两 栋 大 楼 距离 几 公里 ， 这 两 栋 大 楼 中 的 局 域 网 通过 公司 自己 部 署 
光纤 连接 ， 我 们 也 可 以 将 其 理解 为 局 域 网 ， 因 为 没有 租用 网 通 或 电信 提供 的 服务 。 


1.2.2 ”服务 器 和 客户 机 


现在 介绍 服务 器 和 客户 机 的 区 别 。 

在 网 络 和 数据 库 的 相关 图 书 中 , 服务 器 和 客户 机 是 两 个 经 常 出 现 的 术语 。 它 们 的 含义 从 
不 同 的 角度 来 理解 是 不 一 样 的 ， 初 学 者 容易 在 这 些 术语 上 产生 困惑 。 

1. 从 硬件 角度 来 理解 

硬件 角度 〈 物 理 角度 ) 的 客户 机 通常 
指 一 些 适 合家 庭 或 办 公 环境 使 用 的 笔记 本 
电脑 〈 见 图 1-7) 或 台式 机 〈 见 图 1-8) 。 
这 些 计 算 机 上 网 的 目的 是 享受 各 种 网 络 服 
务 ， 如 电子 邮件 服务 、 网 站 浏览 服务 等 。 

硬件 角度 的 服务 器 是 指 一 些 有 别 于 普 
通用 户 使 用 的 PC 的 特殊 计算 机 ， 如 图 1-9 全 图 1-7 笔记 本 电脑 全 图 1-8 台式 机 
所 示 ， 这 些 计算 机 在 网 络 中 用 来 提供 各 种 网 络 服务 。 为 了 适应 大 容量 的 数据 存储 和 频繁 的 客 
户 机 访问 操作 ， 这 些 计 算 机 一 般 都 配备 可 热 插 拔 的 、 大 容量 的 硬盘 ，24 小 时 不 间断 的 UPS 
电源 等 硬件 设备 。 
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全 图 1-9 刀片 服务 器 
2. 从 软件 角度 来 理解 
软件 角度 逻辑 角度 ) 的 客户 机 (Client) 通常 指 一 些 安装 了 享受 网 络 服务 软件 的 计算 
机 。 比 如 ， 我 们 上 网 浏览 网 站 需要 正 浏览 器 ， 这 里 的 正 浏览 器 就 是 一 种 Web 客户 机 软件 ， 
我 们 就 称 安装 了 正 浏览 器 的 计算 机 是 一 台 Web 客户 机 ; 再 如 ， 我 们 使 用 电子 邮件 服务 就 需 
要 用 Outlook 或 者 Foxmail， 我 们 就 称 安装 了 电子 邮件 软件 的 计算 机 是 一 台 E-mail 客户 机 。 


思 是 我 的 计算 机 上 同时 安装 有 电子 邮件 软件 和 下 浏览 器 ， 那 么 可 不 可 以 说 我 的 计算 
请 机 同时 是 Web 客户 机 和 E-mail 客户 机 呢 ? 答 案 : 确实 可 以 。 


软件 角度 的 服务 器 (Server) 通常 指 一 些 安装 了 提供 网 络 服务 软件 的 计算 机 。 比 如 ， 我 
们 要 提供 网 站 服务 就 需要 安装 Windows 2000 Server 或 者 Windows Server 2003 服务 器 操作 系 
统 下 的 IIS (Intemet Information Server，Intemet 信息 服务 器 ) 软件， 这 里 的 IIS 就 是 一 种 
Web 服务 器 软件 ， 我 们 就 称 安装 了 IIS 的 计算 机 是 一 台 Web 服务 器 ， 依 此 类 推 。 


一 台 普通 的 PC 可 不 可 以 安装 像 IIS 这 样 的 软件 来 提供 网 络 服务 呢 ? 答案 : 当然 可 


以 ， 前 提 是 只 要 你 的 PC 能 够 为 你 的 网 络 提供 服务 ， 而 且 服 务 的 质量 还 能 让 你 的 
老板 和 同事 满意 。 


在 本 书 的 叙述 中 ， 除 非特 别 声明 ， 和 否则 服务 器 和 客户 机 都 是 从 软件 的 角度 来 理解 的 。 


医 理 对 网际 互 联 模型 


当 网 络 刚 开始 出 现时 ， 典 型 情况 下 只 能 在 同一 制造 商 的 计算 机 产品 之 间 进 行 通信 , 例如 
只 能 实现 整个 的 DECnet 解决 方案 或 IBM 解决 方案 ， 而 不 能 将 两 者 结合 在 一 起 。20 世纪 70 
年 代 后 期 ， 国 际 标准 化 组 织 〈International Organization for Standardization，ISO) 创建 了 开放 
系统 互联 (Open Systems Interconnection，OSI) 参考 模型 ， 从 而 打破 了 这 一 壁垒 。 

OSI 模型 的 创建 是 为 了 帮助 供应 商 根据 协议 来 构建 可 互 操作 的 网 络 设备 和 软件 ， 以 便 不 
同 供应 商 的 网 络 设备 能 够 互相 协同 工作 。 

OSI 模型 是 面向 网 络 构建 的 最 基本 的 层次 结构 模型 ， 该 模型 采用 分 层 的 方法 来 实现 数据 
和 网 络 信息 从 一 台 计 算 机 的 应 用 程序 ， 经 过 网 络 介质 ， 传 送 到 另 一 台 计 算 机 的 应 用 程序 。 

在 下 面 各 节 中 ， 将 讨论 分 层 的 方法 ， 以 及 怎样 采用 分 层 的 方法 来 排除 互联 网 中 的 故障 。 


1.3.1 分 层 的 方法 


参考 模型 是 一 种 概念 上 的 蓝图 ,描述 了 通信 是 怎样 进行 的 。 它 解决 了 实现 有 效 通信 所 需 
要 的 所 有 过 程 , 并 将 这 些 过 程 划分 为 逻辑 上 的 层 。 层 可 以 简单 地 理解 成 数据 通信 需要 的 步骤 。 
当 一 个 通信 系统 以 这 种 层 的 方式 进行 设计 时 ， 就 称 为 是 分 层 的 体系 结构 。 

打 个 比方 : 将 石家庄 某 厂 大 型 机 械 设 备 搬 到 北京 的 某 个 房间 中 ， 需 要 哪些 步骤 呢 ? 首先 
需要 将 设备 拆卸 ， 并 对 各 个 部 件 编号 、 打 包 ， 通 过 汽车 运 到 石家庄 火车 站 ， 通 过 火车 运 到 北 
京 火 车 站 ， 再 通过 市 内 交通 工具 运送 到 北京 的 房间 ， 最 后 打开 包装 ， 将 各 个 部 件 根据 编号 组 
装 成 设备 。 

在 这 种 场景 中 ， 各 个 环节 就 隐喻 了 通信 系统 中 的 层 。 为 了 保证 工作 的 顺利 进行 ， 每 个 环 
节 都 必须 按 标准 交付 给 下 一 个 环节 ， 以 保证 下 一 个 环节 的 正确 运行 。 比 如 打包 工人 装 箱 必 须 
能 够 符合 汽车 装载 和 运输 ， 从 汽车 卸载 下 来 的 箱子 ， 必 须 能 够 符合 火车 运输 的 标准 。 同 时 每 
个 环节 内 部 的 变化 不 会 影响 其 他 环节 ， 比 如 石家庄 市 建 了 许多 立交 桥 给 汽车 运输 提速 , 不 影 
响 打 包工 人 的 工作 ， 也 不 影响 火车 的 运输 ; 火车 提速 了 ， 不 会 影响 室内 的 汽车 运输 或 打包 工 
人 的 工作 。 

一 旦 业务 启动 ,各 环节 的 人 员 就 会 做 出 与 自己 的 部 门 有 关 的 规划 , 他们 需要 制定 实际 的 
方案 来 实现 所 分 配 的 任务 。 这 些 实 际 的 方案 , 或 者 叫 协议 , 需要 被 编辑 成 标准 的 操作 规程 手 
册 ， 并 加 以 严格 执行 。 在 手册 中 ， 每 个 不 同 的 规程 被 赋予 不 同 的 解释 ， 并 伴 有 不 同 程度 的 重 
要 性 和 实现 性 。 如果 你 有 一 个 合作 伙伴 或 者 成 立 了 另 一 家 公司 ， 让 他 们 遵守 你 的 这 些 业务 规 
昌 就 是 必 不 可 少 的 (至 少 要 相互 兼容 )。 

软件 开发 者 可 以 使 用 参考 模型 来 理解 计算 机 通信 的 过 程 , 并 看 看 在 每 一 层 中 需要 实现 哪 
些 类 型 的 功能 。 如 果 他 们 正在 为 某 一 层 开发 协议 ， 他 们 需要 关心 的 只 是 这 一 层 的 功能 ， 而 不 
是 任何 其 他 层 的 功能 。 当 然 其 他 层 的 功能 由 其 他 层 对 应 的 协议 来 实现 。 


1.3.2 ”参考 模型 的 优点 


OSI 参考 模型 是 层次 化 的 ， 其 主要 意图 ， 是 允许 不 同 供应 商 的 网 络 产品 能 够 在 相应 的 层 
次 上 实现 互 操作 。 


采用 OSI 层次 模型 的 优点 如 下 。 

"a ”将 网 络 的 通信 过 程 划 分 为 小 一 些 、 功 能 简单 的 部 件 ， 有 助 于 各 个 部 件 的 开发 、 设 
计 和 故障 排除 。 

" ”通过 网 络 组 件 的 标准 化 ， 允 许多 个 供应 商 进行 开发 ， 比 如 定义 以 太 网 和 广域网 设 
备 的 接口 标准 和 电压 标准 等 。 


" ”通过 定义 在 模型 的 每 一 层 实现 的 功能 ， 提 高 产业 的 标准 化 。 

”允许 各 种 类 型 的 网 络 硬件 或 软件 相互 通信 ， 比 如 ， 思 科 公 司 的 交换 机 和 华为 公司 
的 交换 机 能 够 很 好 地 连接 通信 ; 正 浏览 器 和 火狐 狸 浏览 器 都 可 以 浏览 网 页 等 。 

" ”防止 对 某 一 层 所 做 的 改动 影响 到 其 他 层 ， 这 样 就 有 利于 开发 ， 比 如 你 将 组 建 局 域 
网 的 设备 由 集线器 蔡 换 成 交换 机 ， 而 你 的 路 由 器 不 需要 更 改 ;， 你 的 网 站 的 改版 ， 
对 网 络 设备 也 没 影响 等 。 

OSI 参考 模型 (OSI 规范 ) 最 重要 的 功能 之 一 ， 是 帮助 不 同类 型 的 主机 实现 相互 之 间 
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的 数据 传输 , 这 意味 着 可 以 
在 一 台 UNIX 主机 和 一 台 
PC 机 或 Mac 机 之 间 进 行 数 
据 传输 。 尽 管 OSI 模型 不 是 
物理 意义 上 的 模型 , 但 它 提 
供 了 一 系列 的 指南 , 使 应 用 


程序 开发 者 创建 并 实现 在 世 呈 到 |#t 

设备 和 网 际 互联 方案 提供 | 站 所 要 要 到 | [生机 证 ， 人 有 MACM 直 提供 对质 的 访问 ， 执行 和 | 

了 一 个 框 染 。 中 下 大作、 拓 让 巡 下 、 设 各 和 电大 
OSI 参考 模型 有 7 个 不 | 物理 层 | de) | 


同 的 层 ， 如 图 1-10 所 示 。 每 
层 对 应 的 功能 ， 尤 其 是 当前 


程序 ， 


| 


目的 客 | 建 


全 图 1-10 0SI 参考 模型 


网 络 中 普遍 应 用 的 功能 都 包含 在 其 中 。 


应 用 层 : 提供 用 户 接 口 ， 特 指 网 络 应 用 程序 ， 能 产生 网 络 流量 的 应 用 程序 ， 比 如 客 
户 端 的 QQ、MSN、IE 浏览 器 等 , 服务 器 端的 Web 服务 、 流 媒体 服务 等 ,而 Windows 
XP 记事 本 程序 和 计算 器 程序 由 于 不 产生 网 络 流量 ， 所 以 它们 不 属于 应 用 层 。 

表示 层 : 表示 数据 ， 如 采用 二 进 制 或 ASCII 码 等 ， 处 理 数 据 ， 如 数据 加 密 、 数 据 
压缩 等 。 这 一 层 常常 是 软件 开发 人 员 需 要 考虑 的 问题 。 比 如 QQ 软件 开发 人 员 就 要 
考虑 用 户 的 聊天 记录 在 网 络 传输 之 前 加 密 ， 防 止 有 人 使 用 捕 包工 具 捕 获 用 户 数据 ， 
泄露 信息 ; 针对 QQ 视频 聊天 , 开发 人 员 就 要 考虑 如 何 通过 压缩 数据 节省 网 络 带宽 。 
会 话 层 : 会 话 层 的 作用 主要 是 建立 、 维 护 、 管 理应 用 程序 之 间 的 会 话 。 比 如 流 媒体 
服务 器 和 每 一 个 点 播 节 目的 客户 端 软 件 分 别 建立 会 话 , 服务 器 才能 区 分 每 个 用 户 点 
播 的 节目 和 相应 进度 。 

传输 层 : 提供 可 靠 或 不 可 靠 的 传输 ， 能 够 错误 纠正 ， 纠 正 失败 能 够 重 传 。 传 输 层 的 
可 靠 传输 负责 建立 端 到 端的 连接 , 并 负责 数据 在 端 到 端 连接 上 的 传输 。 传 输 层 通过 
端口 号 区 分 上 层 服 务 ， 并 通过 滑动 窗口 技术 实现 可 靠 传 输 、 流 量 控制 、 拥 塞 控制 以 
及 通过 三 次 握手 建立 连接 。 

网 络 层 : 为 网 络 设备 提供 逻辑 地 址 , 根据 数据 包 的 逻辑 地 址 选择 最 佳 网 络 路 径 。 负 
责 数据 从 源 端 发 送 到 目的 端 ， 负 责 数 据 传输 的 寻 径 和 转发 。 

数据 链 路 层 : 也 经 常 被 人 们 称 为 MAC 层 ， 它 管理 网 络 设备 的 物理 地 址 ， 所 以 物理 
地 址 也 被 称 作 MAC 地 址 。 数 据 链 路 层 将 数据 包 封 装 为 帧 ， 使 用 MAC 地 址 提供 对 
介质 的 访问 ， 执 行 差错 检测 ， 但 不 纠正 。 数 据 链 路 层 向 上 提供 对 网 络 层 的 服务 。 
物理 层 : 主要 负责 二 进 制 数 据 比 特 流 在 设备 之 间 的 传输 。 物理 层 规定 电压 大 小 、 线 
路 速率 、 设 备 和 电缆 的 接口 标准 。 物 理 层 关心 的 是 以 下 一 些 内 容 。 

4 ”接口 和 媒体 的 物理 特性 。 

9 ”位 的 表示 和 传输 速率 。 

4 ”位 的 同步 。 


第 1 章 
计算 机 网络 是 是 是 昨 玫 


”物理 拓扑 : 星 状 拓扑 、 环 状 拓扑 、 总 线 拓扑 等 。 
4 传输 模式 : 单 工 、 半 双 工 或 全 双 工 。 


1.3.3 OSI 的 分 组 


OSI 参考 模型 7 个 不 同 的 层 分 为 两 个 组 ， 如 图 
A 面向 用 户 应 用 
上 面 3 层 为 OSI 的 高 层 ， 主 要 面向 用 户 应 用 ， 
定义 了 终端 系统 中 的 应 用 程序 将 如 何 彼此 通信 ， 以 
及 如 何 与 用 户 通信 。 软 件 开发 人 员 在 开发 应 用 程序 
时 需要 考虑 OSI 上 面 3 层 ， 不 必要 考虑 数据 通信 方面 向 数据 传 条 
面 的 事情 。 
下 面 4 层 为 OSI 的 底层 ， 主 要 面向 数据 传输 ， 
定义 了 怎样 进行 端 到 端的 数据 传输 。 网 络 工程 师 的 。 ”>os1! 术 型 每 屋 都 有 自己 的 功能 信 
工作 主要 涉及 OSI 参考 模型 的 下 面 4 层 。 网 络 工程 。 ““ 尾 翌 冯 时 相 且 狂 闪 相 全 依靠。 


师 负责 把 网 络 调 通 、 优 化 后 ， 就 可 以 为 多 种 应 用 程 ee 
序 提供 网 络 通信 。 
国 -到 理解 osl 参考 模型 


以 上 对 OSI 参考 模型 的 阐述 ， 虽 然 是 纯 理 论 方面 ,但 理解 了 之 后 ， 对 以 后 的 工作 会 有 很 
大 的 帮助 ， 下 面 讲 几 个 例子 来 加 深 对 OSI 参考 模型 的 理解 。 


1.4.1 实例 : 应 用 程序 包含 IP 地 址 带 来 的 麻烦 


2000 年 石家庄 某 医 院 的 网 络 管理 员 打 电 话 到 我 公司 请 求 技术 支持 ， 问 如 何在 不 更 改 医 
院 下 地 址 的 情况 下 连接 到 市 医保 中 心 ， 市 医保 中 心 统一 规划 人 P 地 址 ， 要 求 医院 重新 规划 IP 
地 址 。 问 题 是 现在 医院 的 很 多 应 用 程序 都 是 自己 开发 的 , 开发 时 客户 端 程序 连接 数据 库 服务 
器 使 用 的 都 是 他 地址 ， 因 此 服务 器 的 他 地 址 变化 ， 会 造成 客户 端 连接 数据 库 失 败 。 

这 就 是 应 用 层 包 含 了 网 络 层 信息 造成 的 麻烦 ， 显 然 这 是 没有 遵循 OSI 参考 模型 的 理念 。 
如 果 是 客户 端 程序 使 用 域名 连接 数据 库 服务 器 ， 当 服务 器 更 改 了 IP 地 址 以 后 ， 客 户 端 可 以 
根据 域名 使 用 DNS 解析 到 新 的 数据 库 服务 器 的 他 地 址 ,这 样 应 用 层 和 网 络 层 就 没有 关联 了 。 

更 改 程序 的 工作 量 太 大 了 ， 我 公司 最 终 选择 通过 给 医院 的 计算 机 配置 两 个 PP 地 址 解决 
该 问题 ， 即 医院 计算 机 原来 的 下 地 址 保持 不 变 ， 再 根据 市 医保 中 心 的 地 址 规划 ， 添 加 第 二 
个 中 地 址 。 

以 下 步 又 可 以 为 计算 机 添加 多 个 他 地址， 如 图 1-12 一 图 1-15 所 示 。 
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全 图 1-14 设置 IP 地 址 


1.4.2 OSI 参考 模型 与 排 错 
OSI 参考 模型 中 底层 为 其 上 层 提供 服务 ， 因 此 排 错 也 应 该 从 底层 到 高 层 依次 排 错 。 


假若 你 是 某 公 司 的 IT 技术 支持 人 员 ， 某 个 员工 打 电 话说 不 能 打开 网 页 了 ， 该 如 何 排 


错 呢 ? 


(1) 物理 层 检查 。 首 先 查 看 网 线 是 否 连接 正常 。 打 开 客 户 端的 网 络 连接 , 如果 出 现 红 又 ， 
如 图 1-16 所 示 ， 则 证 明 网 线 没有 连接 好 ， 属 于 物理 层 故障 。 如 果 没 有 出 现 红 叉 ， 
也 不 一 定 连接 正常 ， 双 击 ， 打 开 “ 本 地 连接 状态 ”对 话 框 ， 查 看 “已 发 送 ” 和 “已 
接收 ”的 数据 包 ， 其 中 任何 一 个 为 0 都 不 能 正常 通信 ， 如 图 1-17 所 示 ， 可 以 检查 


全 图 1-15 添加 新 的 IP 地 址 


网 线 和 网 卡 的 接触 是 否 有 问题 ， 用 网 钳 重 新 压 一 压 水 晶 头 。 


EE 
对 网 才 虹 党 流 拉 出 
PB Broadcom Neptreme yu Gi- 


全 图 1-16 


出 现 红 又 


全 图 1-17 接收 的 包 为 0 


计算 机 网 络 辆 是 芭 基 攻 


如 果 重 新 做 了 网 线 的 水 晶 头 ，“ 已 发 送 ” 或 “已 接收 ”的 数据 包 仍 为 0， 则 可 以 试 试 先 
印 载 网 卡 驱 动 ， 再 重新 加 载 驱动 ， 就 能 解决 网 卡 驱动 引起 的 网 络 故 障 。 

鼠标 右键 单 击 “ 我 的 电脑 ”， 在 弹出 的 快捷 菜单 中 选择 “管理 ”命令 ， 打 开 “ 设 备 管理 
器 ”界面 ， 右 击 网 卡 ， 在 弹出 的 快捷 菜单 中 “ 印 载 ” 命 令 。 

在 弹出 的 设备 删除 确认 对 话 框 中 ， 单 击 “ 确 定 ” 按 钮 ， 如 图 1-18 所 示 。 

可 以 看 到 删除 了 网 卡 驱动 ， 本 地 连接 也 就 没有 了 。 

然后 再 次 扫描 检测 硬件 改动 ,就 可 以 重新 加 载 网 卡 驱 动 ， 本 地 连接 又 会 出 现 ， 如 图 1-19 
所 示 。 


了 网 上 本 动 .此 
处 没有 了 “本 地 连 


PPR 


TN 


全 图 1-18 卸载 网 卡 全 图 1-19 重新 扫描 硬件 

(2) 数据 链 路 层 排 错 。ping 网 关 ， 如 果 时 通 时 断 ， 有 可 能 是 网 络 堵塞 ， 也 有 可 能 是 MAC 
电 址 冲突 (我 就 碰 到 过 MAC 地 址 冲突 的 情况 , 使 用 VMWare 克隆 出 一 个 操作 系统 ， 
结果 克隆 的 操作 系统 和 现 有 的 操作 系统 MAC 地 址 冲突 ) ;ping 网 关 不 通 ， 还 要 检 


妆 的 交换 机 的 端口 所 属 VLAN 是 否 正 确 。 


ve 


(3) 网 络 层 排 错 。 首 先 看 看 卫 
| 直 轴 大 :于 配置 正确 ， 是 耕 
与 其 他 卫 地址 有 冲突 , 如 
果 人 P 地 址 和 网 关 配 置 错 
误 也 同样 不 能 上 网 ， 如 图 


1-20 所 示 。 


Tindors - 条 纸钱 误 四 

开 地 址 与 同 结 上 的 其 地 系 纺 表 5， 
一 
四 


全 图 1-20 IP 地 址 错误 


(4) 表示 层 故 障 。 比 如 我 们 打开 的 网 页 是 乱码 ， 就 是 表示 层 出 现 故障 了 。 如 图 1-21 所 
示 ， 打 开 百 度 网 页 ， 能够 正常 显示 页 面 内 容 。 如 图 1-22 所 示 ， 选择 “查看 ”一 “ 编 
码 ” 一 “其 他 ”一 “西里 尔 文 ”。 如 图 1-23 所 示 ， 正 浏览 器 My 
则 出 现 乱码 。 
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全 图 1-21 表示 层 正常 全 图 1-22 更 改 IE 编码 

(5) 应 用 层 故障 。 查 看 正 的 配置 ， 如 果 正 安 
全 级 别 设置 得 高 , 有 些 网 页 的 功能 则 不 能 
正常 运行 。 如 果 设 置 了 一 个 错误 的 代理 服 
务 器 或 安装 了 错误 的 正 插件 也 会 造成 网 
页 打 不 开 的 现象 。 


1.4.3 ”通过 建立 的 会 话 查看 木马 


通过 查看 可 疑 会 话 可 以 确认 是 否 中 了 木马 。 

菜单 位 的 服务 器 最 近 出 现 异常 , 网 络 管理 员 感 
觉 有 人 在 操作 他 的 服务 器 , 于 是 他 怀疑 服务 器 中 了 
木马 。 他 想 查看 一 下 服务 器 是 否 中 了 森马， 如何 确 
认 呢 ? 

只 要 你 的 计算 机 中 了 木马， 木马 程序 会 自动 运行 ， 或 者 作为 你 的 计算 机 上 的 一 个 服务 ， 
或 者 是 开机 就 自动 运行 ， 然 后 就 在 后 台 偷偷 地 和 远程 的 客户 端 连接 。 攻 击 者 就 可 以 看 到 哪些 
中 了 木马 的 计算 机 在 运行 ， 便 可 以 操作 中 了 木马 的 计算 机 。 如 果 计 算 机 中 了 木马 ， 木 马 程序 
会 自动 和 外 网 的 客户 端 建立 连接 ， 我 们 可 以 通过 查看 计算 机 的 对 外 连接 来 确认 是 否 中 了 木马 。 

这 位 网 管 可 以 如 下 这 样 做 。 

首先 需要 登录 计算 机 , 但 不 访问 任何 网 络 
资源 ， 并 且 保 证 Windows 没有 在 后 台 更 新 系 
统 ， 杀 毒 软件 也 没有 更 新 病毒 库 (因为 这 些 活 
动 也 会 建立 会 话 ， 干 扰 你 查找 木马 ) 。 

如 图 1-24 所 示 , 运行 netstat -nob 查看 有 
没有 到 Intemet 上 的 连接 ， 可 以 看 到 源 端口 和 
目标 端口 ， 源 地 址 和 目标 地 址 ， 以 及 建立 会 话 
的 进程 或 程序 。 

之 后 主要 查看 与 外 网 地 址 连接 的 会 话 , 如 二 国 呈 2 二 种 netatati en00 生 看 尘 撕 
果 有 连接 ， 那 可 能 就 是 木马 程序 ， 即 可 看 到 进程 号 和 该 进程 号 对 应 的 程序 。 
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还 有 一 种 方法 查找 木马 ， 就 是 使 用 微软 自 带 的 系统 配置 工具 msconfig。 木 马 一 般 会 在 操 
作 的 电脑 上 伪装 成 服务 , 或 将 自己 放置 在 自动 启动 项 , 我 们 可 以 检查 服务 和 自动 启动 项 ， 查 


找 可 疑 服务 或 程序 。 


(1) 选择 “开始 ”一 “运行 ” 命令， 打开“ 运行 ”对 话 框 ， 输 入 msconfig， 单 击 “ 确 定 ” 


按钮 ， 打 开 “ 系 统 配置 实用 程序 ”对 话 框 。 


(2) 如 图 1-25 所 示 ， 切 换 到 “服务 ”选项 卡 ， 选 中 “隐藏 所 有 Microsoft 服务 ” 复 选 框 ， 


查看 是 否 有 可 疑 的 服务 。 


(3) 如 图 1-26 所 示 ， 切 换 到 “启动 ”选项 卡 ， 查 看 有 没有 可 疑 的 自动 启动 项 。 如 果 有 


可 疑 的 启动 项 ， 则 将 其 禁用 。 


二 系统 配置 实用 程序 


[二 破 svsrmm zr | wn Tt | Boor IE 服务 ”启动 | 


人 图 1-25 隐藏 所 有 Microsoft 服务 


医 卫 对 网 络 设备 


全 图 1-26 查看 启动 项 


要 想 组 建 网 络 ， 除 了 计算 机 和 服务 器 之 外 ， 还 需要 网 卡 、 网 线 、 集 线 器 、 交 换 机 和 路 由 


器 设备 。 下 面 将 介绍 这 些 网 络 设备 的 相关 知识 。 
1.5.1 网 卡 


计算 机 与 外 界 局 域 网 的 连接 是 通过 主机 箱 内 插入 一 
块 网 络 接口 板 或 者 是 在 笔记 本 电脑 中 插入 一 块 PCMCIA 
卡 ) 。 网 络 接口 板 又 称 为 通信 适配器 或 网 络 适 配器 
(Adapter) 或 网 络 接口 卡 NIC (Network Interface Card) ， 
但 是 现在 更 多 的 人 愿意 使 用 更 为 简单 的 名 称 一 一 网 卡 ， 如 
图 1-27 所 示 。 

网 卡 是 工作 在 数据 链 路 层 的 网 络 组 件 ， 是 局 域 网 中 连 
接 计算 机 和 传输 介质 的 接口 ， 不 仅 能 实现 与 局 域 网 传输 介 
质 之 间 的 物理 连接 和 电信 号 匹配 ， 还 涉及 帧 的 发 送 与 接 


人 我 一 出 厂 就 有 全 
。 址 ， 不 能 更 改 。 小 


球 唯 一 的 物理 地 


全 图 1-27 网 卡 


收 、 帧 的 封装 与 拆 封 、 介 质 访问 控制 、 数 据 的 编码 与 解码 以 及 数据 缓存 的 功能 等 。 
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1. 网 卡 的 功能 
随 着 集成 度 的 不 断 提 高 ， 网卡 上 芯片 的 个 数 不 断 地 减少 , 虽然 现在 各 厂家 生产 的 网 卡 种 
类 繁多 ， 但 其 功能 大 同 小 异 ， 其 主要 功能 有 以 下 三 个 。 

" ”数据 的 封装 与 解 封 :发 送 时 将 上 一 层 交 来 的 数据 加 上 首部 和 尾部 ,成 为 以 太 网 的 帧 。 
接收 时 将 以 太 网 的 帧 剥 去 首部 和 尾部 ， 然 后 送 交 上 一 层 。 

" ” 链 路 管理 :主要 是 CSMA/CD(Carrier Sense Multiple Access with Collision Detection， 
带 冲 突 检测 的 载波 侦 听 多 路 访问 ) 协议 的 实现 。 

”编码 与 译 码 : 即 曼彻斯特 编码 与 译 码 。 

2. 网 卡 的 传输 速率 


应 根据 服务 器 或 工作 站 的 带宽 需求 并 结合 物理 传输 介质 所 能 提供 的 最 大 传输 速率 来 选 
择 网 卡 的 传输 速率 。 以 以 太 网 为 例 ， 可 选择 的 速率 就 有 10Mb/s、10/100Mb/s、1000Mb/s， 
甚至 10Gb/s 等 多 种 ， 但 不 是 速率 越 高 就 越 合 适 。 例 如 ， 为 连接 在 只 具备 100Mb/s 传输 速度 
的 双 绞 线 上 的 计算 机 配置 1000Mb/s 的 网 卡 就 是 一 种 浪费 ， 因 为 其 最 多 只 能 实现 100Mb/s 的 
传输 速率 。 

3. 网 卡 的 接口 


网 卡 最 终 是 要 与 网 络 进行 连接 的 , 所 以 也 就 必须 有 一 个 接口 使 网 线 通 过 它 与 其 他 计算 机 
网 络 设备 连接 起 来 。 不 同 的 网 络 接口 适用 于 不 同 的 网 络 类 型 ， 目 前 常见 的 接口 主要 有 以 太 网 
的 RJ-45 接口 、 细 同 轴 电 缆 的 BNC 接口 和 粗 同 轴 电缆 的 AUI 接口 、FDDI 接口 、ATM 接口 
等 。 而 且 有 的 网 卡 为 了 适用 于 更 广泛 的 应 用 环境 ， 提 供 了 两 种 或 多 种 类 型 的 接口 ， 如 有 的 网 
卡 会 同时 提供 RI-45、BNC 接口 或 AUI 接 口 。 

RJ-45 接口 是 最 为 常见 的 一 种 网 卡 ， 也 是 应 用 最 广泛 的 一 种 接口 类 型 网 卡 ， 这 主要 得 益 
于 双 绞 线 以 太 网 应 用 的 普及 。 因 为 这 种 RJ-45 接口 类 型 的 网 卡 就 是 应 用 于 以 双 绞 线 为 传输 介 
质 的 以 太 网 中 ， 它 的 接口 类 似 于 常见 的 电话 接口 RTI-11， 但 RJ-45 是 8 芯 线 ， 而 电话 线 的 接 
口 是 4 芯 的 ， 通常 只 接 2 芯 线 (ISDN 的 电话 线 接 4 芯 线 ) 。 在 网 卡 上 还 自 带 两 个 状态 指示 
灯 ， 通 过 这 两 个 指示 灯 颜 色 可 初步 判断 网 卡 的 工作 状态 。 

4. MAC 地 址 


MAC (Media Access Control) 地 址 ， 或 称 为 物理 地 址 、 硬 件 地 址 ， 用 来 定义 网 络 设备 
的 位 置 。 在 OSI 模型 中 ， 第 三 层 网 络 层 使 用 人 P 地 址 ， 第 二 层 数据 链 路 层 使 用 MAC 地 址 。 
因此 一 个 主机 会 有 一 个 瑟 地 址 ， 而 每 个 网 卡 会 有 一 个 专属 于 它 的 MAC 地 址 。 

MAC 地 址 是 烧 录 在 Network Interface Card (网 卡 ， NIC) 里 的 。MAC 地 址 是 由 48 比特 
(6 字 节 ) 的 十 六 进 制 的 数字 组 成 的 。 其 中 0 一 23 位 叫做 组 织 唯 一 标志 符 〈organizationally 
unique) ， 是 识别 LAN〔〈 局 域 网 ) 结 点 的 标识 ，24 一 47 位 是 由 厂家 自己 分 配 。 其 中 第 8 位 
是 组 播 地 址 标志 位 。 网 卡 的 物理 地 址 通常 是 由 网 卡 生 产 厂 家 烧 入 网 卡 的 EPROM (一 种 闪存 
芯片 ， 通 常 可 以 通过 程序 擦 写 ) ， 它 存储 的 是 传输 数据 时 真正 赖 以 标识 发 出 数据 的 电脑 和 接 
收 数据 的 主机 地 址 。 

也 就 是 说 ， 在 网 络 底层 的 物理 传输 过 程 中 ， 是 通过 物理 地 址 来 识别 主机 的 ， 它 一 般 是 全 
球 唯 一 的 。 比 如 ， 著 名 的 以 太 网 卡 ， 其 物理 地 址 是 48 bit〈 比 特 位 ) 的 整数 ， 如 
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44-45-53-54-00-00， 以 机 器 可 读 的 方式 存 入 主机 接口 中 。 以 太 网 地 址 管理 机 构 〈 除 了 管 这 个 
外 还 管 别 的 ) (IEEE) (IEEE: 电气 和 电子 工程 师 协会 ) 将 以 太 网 地 址 ， 也 就 是 48 bit 的 不 
同 组 合 , 分 为 若干 独立 的 连续 地 址 组 , 生产 以 太 网 网 卡 的 厂家 就 购买 其 中 一 组 , 具体 生产 时 ， 
逐个 将 唯一 地 址 赋予 以 太 网 卡 。 

形象 地 说 ，MAC 地 址 就 如 同 我 们 身份 证 上 的 身份 证 号 码 ， 具 有 全 球 唯一 性 。 

5. MAC 地 址 的 应 用 

身份 证 在 平时 的 作用 并 不 是 很 大 , 但 是 到 了 关键 时 刻 , 身份 证 就 是 用 来 证 明 你 的 身份 的 。 
比如 你 要 去 银行 提取 大 额 现金 , 这 时 就 要 用 到 身份 证 。 那么 MAC 地 址 与 人 P 地 址 绑 定 就 如 同 
我 们 在 日 常生 活 中 的 本 人 携带 自己 的 身份 证 去 做 重要 事情 一 样 的 道理 。 有 的 时 候 , 我 们 为 了 
防止 下 地 址 被 次 用， 就 通过 简单 的 交换 机 端口 绑 定 (端口 的 MAC 表 使 用 静态 表 项 ) ， 可 以 
在 每 个 交换 机 端口 只 连接 一 台 主 机 的 情况 下 防止 修改 MAC 地 址 的 盗用 ， 如 果 是 三 层 设备 还 
可 以 提供 交换 机 端口 IP/MAC 三 者 的 绑 定 , 防止 修改 MAC 的 人 Pp 次 用。 一般 绑 定 MAC 地 址 
都 是 在 交换 机 和 路 由 器 上 配置 的 ， 是 网 管 人 员 才 能 接触 到 的 , 对 于 一 般 电脑 用 户 来 说 只 要 了 
解 了 绑 定 的 作用 就 行 了 。 比 如 你 在 校园 网 中 把 自己 的 笔记 本 电脑 换 到 另外 一 个 宿舍 就 无 法 上 
网 了 ， 这 个 就 是 因为 MAC 地 址 与 亿 地 址 (端口 ) 绑 定 引起 的 。 

6. 查看 和 更 改 计算 机 的 MAC 地 址 

MAC 地 址 是 绑 定 在 网 卡 上 的 一 个 12 位 十 六 进 制 字符 , 它们 在 出 厂 的 时 候 已 经 固化 在 网 
卡 中 , 它 是 网 卡 在 网 络 中 的 身份 识别 。 有 很 多 网 络 环境 中 都 用 到 了 卫 地 址 和 MAC 地 址 绑 定 
的 情况 。 而 MAC 地 址 是 先 调 入 内 存 中 后 传输 出 去 的 ， 所 以 ， 我 们 可 以 通过 修改 其 MAC 地 
址 来 打破 这 些 限 制 。 

(1) 如 何 获取 本 机 的 MAC 地 址 ? 

在 Windows 2000XP 中 , 依次 选择 开始 ”一 “运行 ?命令 ,在 打开 的 对 话 框 中 输入 CMD ”， 
单 击 “ 确 定 ” 按 钮 ， 在 打开 的 命令 窗口 中 输入 “ipconfig /all”， 回 车 。 即 可 看 到 MAC 地 址 ， 
如 图 1-28 所 示 。 

(2) 如 何 更 改 计算 机 的 MAC 地 址 ? 

中 如 图 1-29 所 示 ， 打 开 “ 网 络 连接 ”窗口 ， 右 击 “ 本 地 连接 ”， 在 弹出 的 快捷 菜单 中 


选择 “属性 ”命令 。 
ER En 
OFE-©O-7 /0 gg 
Fr EE 
ernet 持 2K9 介 
这 .0 Gbps 
Wh 
| a 嚼 - wa 
a 


EE si | 


关 C) 
全 图 1-28 查看 MAC 地 址 全 图 1-29 “本 地 连接 状态 ”对 话 框 
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@ 在 出 现 的 “本 地 连接 状态 ”对 话 框 中 ， 单 击 “ 属 性 ”按钮 。 
@ 如 图 1-30 所 示 ， 在 出 现 的 “本 地 连接 属性 ”对 话 框 ， 单 击 “ 配 置 ”按钮 。 
图 如 图 1-31 所 示 ， 在 出 现 的 属性 对 话 框 的 “高 级 ”选项 卡 的 “属性 ”列表 框 中 ， 选 择 


Locally Administered Address”， 选 中 “ 值 ”文本 框 左 侧 的 单 选 按钮 ， 并 在 其 中 输入 
新 的 MAC 地址 。 单 击 “ 确 定 ” 按 钮 。 
EE 
| | | 


连接 时 使 用 - 
Il PE/100 时 Work 


RE 
Bs 县 crosoft 网 络 上 的 资源 。 


捷 连接 后 在 通知 区 域 显示 图 标 也 ) 
厂 此 连接 补 限 制 或 无 连接 时 通知 我 昌 ) 


we |_w | Cj ww | 
全 图 1-30 “本 地 连接 属性 ”对 话 框 A 图 1-31 输入 新 的 MAC 地址 

@@ 如 图 1-32 所 示 , 在 命令 提示 符 下 , 输入 ipconfig /all 查看 更 改 后 的 MAC 地 址 。 实 际 
上 网 卡 芯 片 的 MAC 地 址 并 没有 被 改变 。 

@ 更 改 后 的 MAC 地 址 存储 在 计算 机 的 注册 表 中 ,你 可 以 搜索 到 。 选 择 “ 开 始 ” 一 “ 运 
行 ”命令 ， 在 打开 的 对 话 框 中 输入 “regedit”， 打 开 注册 表 编 辑 工具 。 

@ 如 图 1-33 所 示 ， 选 择 “ 编 辑 ” 一 “查找 ”命令 ， 在 出 现 的 “查找 ”对 话 框 中 ， 输 入 
MAC 地 址 ， 就 能 搜索 到 上 面 更 改 的 MAC 地 址 。 


ET 
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Eu | 
Fra 


J 
全 图 1-32 查看 更 改 后 的 结果 全 图 1-33 在 注册 表 中 查看 更 改 的 结果 

1.5.2 网线 

以 太 网 电缆 的 连接 是 一 个 重要 的 话题 ， 尤 其 是 在 你 打算 参加 Cisco 考试 的 时 候 。 可 用 的 
以 太 网 电缆 类 型 如 下 。 

" ”直通 电缆 

”交叉 电费 

=”， 反 转 电费 
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下 面 将 对 这 些 电缆 类 型 分 别 进行 讨论 。 

1. 直通 电缆 

直通 线 ， 又 叫 正 线 或 标准 线 ， 两 端 采用 568B 做 线 标准 ， 注 意 两 端 都 是 同样 的 线 序 且 一 
一 对 应 。 

具体 的 线 序 制作 方法 如 下 。 

双 绞 线 夹 线 顺 序 是 两 边 一 致 ， 统 一 都 是 : 1 一 白 栖 、2 一 栖 、3 一 白 绿 、4 一 蓝 、5 一 白 蓝 、 
6 一 绿 、7 一 白 棕 、8 一 棕 , 如 图 1-34 所 示 。 注 意 两 端 都 是 同样 的 线 序 且 一 一 对 应 。 这 就 是 100M 
网 线 的 做 线 标准 ， 即 568B 标准 ， 也 就 是 我 们 平常 所 说 的 正 线 、 标 准 线 或 直通 线 。 

直通 线 应 用 最 广泛 ， 这 种 类 型 的 以 太 网 电费 用 来 实现 下 列 连接 。 

" ”主机 到 交换 机 或 集线器 

”路 由 器 到 交换 机 或 集线器 

在 直通 电缆 中 , 使 用 了 4 根 电 费 线 来 连接 以 太 网 设备 。 制 作 这 种 类 型 的 电缆 相对 来 说 比 
较 简 单 。 图 1-35 所 示 是 使 用 在 直通 以 太 网 电缆 中 的 4 根 电缆 线 。 
集线器 / 交换 机 主机 


全 图 1-34 568B 线 序 全 图 1-35 直通 线 线 序 


只 使 用 了 1、2、3 和 6 这 些 插脚 引线 。 只 需 进 行 1 到 1、2 到 2、3 到 3 和 6 到 6 
的 连接 ， 就 马上 可 以 连 网 了 。 然 而 要 记 住 ， 这 些 电缆 只 是 以 太 网 使 用 的 ， 不 能 用 


于 其 他 的 网 络 ， 比 如 语音 网 络 、 令 牌 环 和 ISDN 等 。 
2. 交叉 电缆 


交叉 线 ， 又 叫 反 线 ， 线 序 按照 一 端 568A， 一 端 568B 的 标准 排列 好 线 序 ， 并 用 RJ-45 水 
蝇头 夹 好 。 

具体 的 线 序 制作 方法 如 下 。 

端 采用 : 1 一 白 绿 、2 一 绿 、3 一 白 楼、4 一 蓝 、5 一 白 蓝 、6 一 榜 、7 一 白 棕 、8 一 棕 ， 即 
568A 标准 ， 如 图 1-31 所 示 ; 另 一 端 在 这 个 基础 上 将 这 8 根 线 中 的 1 号 和 3 号 线 ，2 号 和 6 
号 线 互 换 一 下 位 置 ， 这 时 网 线 的 线 序 就 变 成 了 568B ( 即 白 橙 ， 橙 ， 白 绿 ， 蓝 ， 白 蓝 ， 绿 ， 
白 棕 ， 棕 的 顺序 ) 做 线 标 准 不 变 ， 这 样 交 叉 线 就 做 好 了 ， 如 图 1-36 所 示 。 

这 种 类 型 的 以 太 网 电缆 用 来 实现 下 列 连 接 。 

" ”交换 机 到 交换 机 

”集线器 到 集线器 

" ”主机 到 主机 

= ”集线器 到 交换 机 
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" ”路 由 器 直 连 到 主机 
和 在 直通 电缆 中 一 样 ， 这 种 电缆 也 使 用 4 根 同样 的 电缆 线 , 但 是 要 将 不 同 的 插脚 引线 连 
接 起 来 。 图 1-37 显示 了 这 4 根 电缆 线 是 怎样 用 在 以 太 网 交叉 电缆 中 的 。 
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ee ET 
We ea) 集线器 /交换 机 集线器 /交换 机 
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568B 568B 6 6 


全 图 1-36 568B 和 568A 的 线 序 全 图 1-37 交叉 线 线 序 
3. 反 转 电缆 
尽管 这 种 类 型 的 电缆 不 是 用 来 连接 各 种 以 太 网 部 件 的 ， 但 是 你 可 以 用 它 来 实现 从 主机 
到 路 由 器 控制 台 串 行 通信 (Console〉 端 口 的 连接 。 
如 果 有 一 台 Cisco 路 由 器 或 交换 机 ， 就 可 以 使 用 这 种 电缆 将 运行 超级 终端 
(HyperTerminal) 的 PC 与 Cisco 硬件 设备 连接 起 来 。 在 这 种 电缆 中 使 用 了 8 根 电费 线 来 连接 
串 行 设 备 。 图 1-38 显示 了 用 在 反 转 电缆 中 的 8 根 电 缆 线 。 


机 路 由 器 /交换 机 
1 
1 
3 ; 
4 人 
& 5 
6 6 
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人 A 图 1-38 反 转 电缆 线 序 
这 些 可 能 是 最 容易 制作 的 电缆 线 了 ， 因 为 你 只 需 切断 直通 电缆 线 的 一 端 ， 并 将 它 反 转 过 
来 连接 即 可 〈 当 然 ， 要 用 另 一 个 连接 器 ) 。 


1.5.3 ”集线器 
集线器 的 英文 名 称 为 “Hub”。“Hub” 是 “中 心 ” 的 意思 ， 集 线 器 的 主要 功能 是 对 接 


收 到 的 信号 进行 再 生 整 形 放 大 ， 以 扩大 网 络 的 传输 距离 ， 同 时 把 所 有 结 点 集中 在 以 它 为 中 心 
的 结 点 上 ， 如 图 1-39 所 示 。 
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D E 
MAC 地 址 MA MAC 地 址 MB MAC 地 址 MC MAC 地 址 MD MAC 地 址 ME 


A B 


A 给 B 发 送 数据 ， 目标 MAC 地 址 为 MB 集线器 将 传送 该 数据 的 电信 号 传递 到 了 所 有 接 
口 ,集线器 上 的 所 有 计算 机 者 能 收 到 ， 但 只 有 8 计算 机 接收 并 处 理 该 数据 包 , 其 他 计算 机 
对 该 数据 包 视而不见 。 

与 此 同时 如 果 B 计 算 机 打算 给 D 计 算 机 发 送 数据 包 ，E 计 算 机 检测 到 网 上 有 数据 包 在 传 , 暂 
停 发 送 。 这 就 是 冲突 检测 

如 果 网 络 中 有 黑客 , 医 上 抓 包工 具 ， 不 管 是 不 是 给 自己 的 数据 包 都 接收 , 网 络 不 安全 。 


全 图 1-39 集线器 配置 图 示 

集线器 工作 于 OSI 参考 模型 的 第 一 层 ， 即 物理 层 。 它 与 网 卡 、 网 线 等 传输 介质 一 样 ， 属 
于 局 域 网 中 的 基础 设备 ， 采 用 CSMA/CD 访问 方式 。 

使 用 集线器 的 接 入 设备 越 多 ， 冲 突 几 率 越 大 。 

集线器 使 用 CSMA/CD 技术 。 

载波 侦 听 多 路 访问 /冲突 检测 CSMA/CD 是 一 种 介质 访问 的 控制 方法 ， 当 在 同一 个 共享 
网 络 中 的 不 同 结 点 同时 传送 数据 包 时 ， 不 可 避免 地 会 产生 冲突 ， 而 CSMA/CD 机 制 就 是 用 来 
解决 这 种 冲突 问题 的 。 

1. CSMA/CD 的 工作 原理 

当 一 个 结 点 想 在 网 络 中 发 送 数据 时 ， 它 首先 检查 线路 上 是 否 有 其 他 主机 的 信号 在 传送 : 
如 果 有 ， 说 明 其 他 主机 在 发 送 数据 ， 自 己 则 利用 退 避 算法 等 一 会 再 试图 发 送 ; 如 果 线 路 上 没 
有 其 他 主机 的 信号 ， 自 己 就 将 数据 发 送出 去 ， 同 时 ， 不 停 地 监听 线路 ， 以 确信 其 他 主机 没有 
发 送 数据 ， 如 果 检 测 到 有 其 他 信号 ， 自 己 就 发 送 一 个 JAM 阻塞 信号 ， 通 知 网 段 上 的 其 他 结 
点 停止 发 送 数据 ， 这 时 ， 其 他 结 点 也 必须 采用 退 避 算法 等 一 会 再 试图 发 送 。 

2. CSMA/CD 的 重要 特性 

" ”使 用 CSMA/CD 协议 的 以 太 网 不 能 进行 全 双 工 通信 , 而 只 能 进行 双向 交替 通信 ( 半 

双 工 通信 ) 。 
" ”每 个 站 在 发 送 数 据 之 后 的 一 小 段 时 间 内 ， 存 在 着 遭遇 碰撞 的 可 能 性 。 
" ”这 种 发 送 的 不 确定 性 使 整个 以 太 网 的 平均 通信 和 量 远 小 于 以 太 网 的 最 高 数据 率 。 
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集线器 属于 纯 硬 件 网 络 底层 设备 ， 当 网 络 中 的 A 计算 机 和 B 计算 机 进行 通信 时 ， 虽 然 数 
据 帧 有 具体 的 源 MAC 地 址 和 目标 MAC 地 址 , 但 是 集线器 不 会 针对 目标 MAC 地 址 进行 转发 
而 是 将 这 个 信号 传递 到 所 有 的 接口 。 也 就 是 说 ， 当 它 要 向 某 结 点 发 送 数据 时 ， 不 是 直接 将 数 
据 发 送 到 目的 结 点 ， 而 是 将 数据 包 发 送 到 与 集线器 相连 的 所 有 节 结 点 ， 如 图 1-40 所 示 。 


我 就 10M 带 宽 ， 
ER 
oO 


就 是 因为 我 不 能 看 懂 数 据 
的 MAC 地 址 ， 也 不 能 基于 
MAC 地 址 转发 数据 ， 和 没有 
任何 智商 的 网 线 一 样 被 称 
为 物理 层 设 备 ， 真 的 好 丢 


e 所 有 设备 在 同一 个 冲突 域 
e 所 有 设备 在 同一 个 广播 域 
e 所 有 设备 共享 带宽 


补充 知识 
广播 通信 , 就 像 我 上 课 前 说 : “同学 们 好 ! ”， 其 中 “同学 们 ”， 指 的 所 有 学 生 ， 在 计算 机 网 络 中 就 相当 于 广播 地 址 ,目标 


MAC 地 址 是 FF-FF-FF-FF-FF-FF 就 是 广播 地 址 ,广播 数据 要 求 同 一 网 段 的 计算 机 都 能 收 到 。 
点 到 点 通信 ,就 像 我 上 课时 说 : “ 刘 飞 同学 回答 这 个 问题 。”， 其 中 “ 刘 飞 ”就 是 特定 的 一 个 人 ， 在 计算 机 网 络 中 相当 于 特定 
MAC ,目标 地 址 和 源 地 址 都 是 具体 的 地 址 ， 这 类 通信 就 是 点 到 点 通信 。 

全 图 1-40 集线器 运行 在 物理 层 


这 种 广播 发 送 数据 方式 有 以 下 几 方面 不 足 。 

" ”用 户 数 据 包 向 所 有 结 点 发 送 , 很 可 能 带 来 数据 通信 的 不 安全 因素 , 一 些 别有用心 的 
人 很 容易 就 能 非法 截获 他 人 的 数据 包 。 

" ”由 于 所 有 数据 包 都 是 向 所 有 结 点 同时 发 送 , 加 上 以 上 所 介绍 的 共享 带宽 方式 , 就 更 
可 能 造成 网 络 堵塞 的 现象 , 越发 降低 了 网 络 的 执行 效率 。 因此 集线器 连接 的 网 为 一 
个 冲突 域 。 

" ” 非 双 工 传输 , 网 络 通 信 效 率 低 。 集线器 的 同一 时 刻 每 一 个 端口 只 能 进行 一 个 方向 的 
数据 通信 ， 而 不 能 像 交换 机 那样 进行 双向 双 工 传输 ， 网 络 执行 效率 低 ， 不 能 满足 较 
大 型 网 络 通信 的 需求 。 

正 因 如 此 ， 尽 管 集线器 技术 也 在 不 断 改 进 ， 但 实质 上 只 是 加 入 了 一 些 交换 机 (switch) 
技术 ,发展 到 了 今天 的 具有 堆 合 技术 的 堆 秋 式 集线器 ， 有 的 集线器 还 具有 智能 交换 机 功能 。 
可 以 说 集线器 产品 已 在 技术 上 向 交换 机 技术 进行 了 过 渡 , 具备 了 一 定 的 智能 性 和 数据 交换 能 
力 。 但 随 着 交换 机 价格 的 不 断 下 降 ， 仅 有 的 价格 优势 已 不 再 明显 ， 集 线 器 的 市 场 越 来 越 小 ， 
处 于 淘汰 的 边缘 。 尽管 如 此 ,集线器 对 于 家 庭 或 者 小 型 企业 来 说 ,在 经 济 上 还 是 有 一 点 诱惑 
力 的 ， 特 别 适 合家 庭 中 几 台 机 器 的 网 络 或 者 中 小 型 公司 作为 分 支 网 络 使 用 。 
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1.5.4 ”交换 机 

交换 机 《〈 意 为 “开关 ”) 是 一 种 用 于 电信 号 转发 的 网 络 设备 ， 它 可 以 为 接 入 交换 机 的 任 
意 两 个 网 络 结 点 提供 独 享 的 电信 号 通路 。 最 常见 的 交换 机 是 以 太 网 交换 机 。 其 他 常见 的 还 有 
电话 语音 交换 机 、 光 纤 交 换 机 等 ， 如 图 1-41 所 示 。 


全 图 1-41 交换 机 图 示 
在 计算 机 网 络 系 统 中 ， 交 换 概念 的 提出 改进 了 共享 工作 模式 。 我 们 之 前 介绍 过 的 Hub 
集线器 就 是 一 种 共享 设备 。Hub 本 身 不 能 识别 目的 地 址 ， 当 同一 局 域 网 内 的 A 主机 给 B 主 
机 传输 数据 时 ， 数 据 包 在 以 Hub 为 架构 的 网 络 上 是 以 广播 方式 传输 的 ， 由 每 一 台 终 端 通过 
验证 数据 包头 的 地 址 信息 来 确定 是 否 接收 。 也 就 是 说 ， 在 这 种 工作 方式 下 ， 同 一 时 刻 网 络 上 
只 能 传输 一 组 数据 帧 的 通信 ， 如 果 发 生 碰 撞 还 得 重 试 。 这 种 方式 就 是 共享 网 络 带宽 。 
交换 机 拥有 一 条 很 高 带宽 的 背部 总 线 和 内 部 交换 矩阵 。 交 换 机 的 所 有 端口 都 挂 接 在 这 条 
背部 总 线 上 ， 控 制 电路 收 到 数据 包 以 后 ， 处 理 端口 会 查找 内 存 中 的 地 址 对 照 表 以 确定 目的 
MAC (网 卡 的 硬件 地 址 ) 的 NIC〈 网 卡 ) 挂 接 在 哪个 端口 上 ， 通 过 内 部 交换 矩阵 迅速 将 数 
据 包 传送 到 目的 端口 ， 目 的 MAC 若 不 存在 则 广播 到 所 有 的 端口 ， 接 收 端口 回应 后 交换 机 会 
“学 习 ” 新 的 地 址 ， 并 把 它 添加 到 内 部 MAC 地 址 表 中 。 
使 用 交换 机 也 可 以 把 网 络 “ 分 段 ”， 通 过 对 照 MAC 地 址 表 ， 交 换 机 只 允许 必要 的 网 络 
流量 通过 。 通 过 交换 机 的 过 滤 和 转发 ， 可 以 有 效 地 隔离 广播 风暴 ， 减 少 误 包 和 错 包 的 出 现 ， 
避免 共享 冲突 ， 如 图 1-42 所 示 。 


我 可 是 根据 目标 MAC 
-地 : 还 以 为 ; E ) 
和 的 数据 包 了 也? 


F 
MAC 地 址 MF 


MAC 地 址 MA MAC 地 址 MB MAC 地 址 MC MAC 地 址 MD 。 MAC 地 址 ME 


交换 机 学 习 构造 完 MAC 地 址 表 之 后 ,知道 了 每 个 接口 对 应 哪个 MAC 地 址 。 

交换 机 能 能 够 基于 MAC 地 址 转发 数据 , 因此 A 给 6 通信 , 不 影响 D 给 C 通 信 。 

有 的 同学 会 想 如 果 D 给 < 通信 时，E 也 给 C 退 信 ， 连 航 C 的 咒 口 ' 就 会 产生 冲突 ,交换 
机 端口 能 够 缓存 数据 并 让 数据 帧 排队 ， 因 此 交换 机 能 够 很 好 的 解决 这 类 冲突 。 

如 果 发 送 广播 包 ,交换 机 将 广播 包 转 发 到 所 有 接口 。 


全 图 1-42 交换 机 工作 在 链 路 层 
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交换 机 在 同一 时 刻 可 进行 多 个 端口 对 之 间 的 数据 传输 。 每 一 端口 都 可 视 为 独立 的 网 段 ， 
连接 在 其 上 的 网 络 设备 独自 享有 全 部 的 带宽 , 无 须 同 其 他 设备 竞争 使 用 。 当 结 点 A 向 结 点 了 D 
发 送 数据 时 ， 结 点 B 可 同时 向 结 点 C 发 送 数据 ， 而 且 这 两 个 传输 都 享有 网 络 的 全 部 带宽 ， 
都 有 着 自己 的 虚拟 连接 。 假 若 这 里 使 用 的 是 10Mb/s 的 以 太 网 交换 机 ， 那 么 该 交换 机 这 时 的 
总 流通 量 就 等 于 2X10Mb/s 二 20Mb/s， 而 使 用 10Mb/s 的 共享 式 Hub 时 ， 一 个 Hub 的 总 流通 
量 也 不 会 超出 10Mb/s。 

总 之 ， 交 换 机 是 一 种 基于 MAC 地 址 识别 ， 能 完成 封装 转发 数据 帧 功能 的 网 络 设备 。 交 
换 机 可 以 “学 习 ”MAC 地 址 ， 并 将 其 存放 在 内 部 地 址 表 中 ， 通 过 在 数据 帧 的 始 发 者 和 目标 
接收 者 之 间 建 立 临 时 的 交换 路 径 ， 使 数据 帧 直接 由 源 地 址 到 达 目 的 地 址 。 

交换 机 和 集线器 相 比 有 以 下 优点 。 

" ”交换 机 的 端口 带宽 独 享 。 

= ”交换 机 比 集线器 安全 。 

" ”将 目标 MAC 地 址 为 FF-FF-FF-FF-FF-FF 的 数据 帧 发 送 到 所 有 交换 机 端口 (除了 发 

送 端 口外 ) ， 因 此 交换 机 连接 的 网 是 一 个 广播 域 。 

因为 交换 机 能 够 基于 MAC 地 址 转发 数据 ， 而 MAC 地 址 属于 OSI 参考 模型 的 第 二 层 地 

址 ， 因 此 我 们 称 交 换 机 为 二 层 设 备 。 


1.5.5 ”路 由 器 


路 由 器 是 连接 因特网 中 各 局 域 网 、 广 域 网 的 设备 ， 它 会 根据 信道 的 情况 自动 选择 和 设 定 
路 由 ， 以 最 佳 路 径 、 
按 前 后 顺序 发 送信 
号 的 设备 。 路 由 器 的 
英文 名 是 Router， 它 


是 互联 网 的 枢纽 、 
“交通 警察 ”。 目 前 9 
路 由 器 已 经 广泛 应 ~ 一 g 
用 于 各 行 各 业 ， 各 种 和 从 各 相 所 数据 得 
不 同 档次 的 产品 已 人 
经 成 为 实现 各 种 上 骨 ida 
干 网 内 部 连接 、 骨 干 
网 间 互 联 和 骨干 网 
与 互联 网 互联 互通 
业务 的 主力 军 ， 如 图 
1-43 所 示 。 路 由 器 的 作用 
在 路 由 过 程 中 ， ， 广播 控制 ， 流量 控 制 
个 或 多 个 中 间 结 点 。 
通常 ， 人 们 会 把 路 由 人 图 1-43 路 由 器 运 行 在 网 络 层 


和 交换 进行 对 比 , 主 
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要 是 因为 在 普通 用 户 看 来 这 两 者 所 实现 的 功能 是 完全 一 样 的 。 其 实 ， 路 由 和 交换 之 间 的 主要 
区 别 就 是 交换 机 根据 MAC 地 址 转发 数据 帧 , 发 生 在 OSI 参考 模型 的 第 二 层 (数据 链 路 层 ) ， 
而 路 由 器 基于 网 络 层 地 址 转发 数据 包 ， 发 生 在 OSI 参考 模型 第 三 层 ， 即 网 络 层 ， 因 此 我 们 说 
路 由 器 为 三 层 设 备 。 

举例 来 说 ， 大 家 都 知道 打 电 话 分 本 地 和 长 途 ， 打 长 途 电话 需要 拨 区 号 ， 打 本 地 电话 则 不 
需要 拨 区 号 。 类 似 的 来 理解 计算 机 之 间 的 通信 ,交换 机 端口 连接 的 计算 机 就 相当 于 在 同一 个 
区 的 电话 ， 负 责 在 同一 个 区 转发 数据 ， 即 所 连接 的 计算 机 的 IP 地 址 网 络 部 分 必须 相同 。 路 
由 器 的 接口 连接 不 同 的 网 段 ， 负 责 在 不 同 的 网 段 转 发 数据 包 ， 相 当 于 在 不 同 区 打 长 途 电话 。 
如 图 1-44 所 示 ， 交 换 机 1 连接 的 计算 机 都 在 172.16.0.0/16 网 段 ， 交 换 机 2 连接 的 计算 
机 都 在 172.17.0.0/16 网 段 。 路 由 器 的 两 个 以 太 网 接口 连接 交换 机 1 和 交换 机 2。 连 接 交换 机 
1 的 接口 设置 瑟 地 址 172.16.0.1 作为 172.16.0.0/16 网 段 的 网 关 , 连接 交换 机 2 的 接口 设置 全 
地 址 172.17.0.1 作为 
172.17.0.0/16 网 段 的 网 
关 。 网 关 就 是 到 其 他 网 段 
的 出 口 ， 一 般 为 路 由 器 接 
口 的 下 地址 , 且 该 地 址 为 
该 网 段 中 第 一 个 或 最 后 一 
个 可 用 的 他 地 址 , 这 样 可 
尽量 避免 计算 机 和 网 关 的 
IP 地 址 冲突 。 

路 由 器 是 互联 网 的 主 
要 结 点 设备 。 路 由 器 通过 
发 策略 称 为 路 由 选择 
(routing)， 这 也 是 路 由 器 
名 称 的 由 来 (router, 转发 
者 ) 。 作 为 不 同 网 络 之 间 互 相连 接 的 枢纽 ， 路 由 器 系统 构成 了 基于 TCP/IP 国际 互联 网 络 
Internet 的 主体 脉络 。 也 可 以 说 ， 路 由 器 构成 了 Intemet 的 骨架 ， 它 的 处 理 速度 是 网 络 通信 
的 主要 瓶颈 之 一 ， 其 可 靠 性 则 直接 影响 着 网 络 互 联 的 质量 。 因 此 ， 在 园区 网 、 地 区 网 ， 乃 至 
整个 Intemet 的 研究 领域 ， 路 由 器 技术 始终 处 于 核心 地 位 ， 其 发 展 历程 和 方向 成 为 整个 
Internet 研究 的 一 个 缩影 。 

路 由 器 的 作用 如 下 。 

" ”默认 时 ， 路 由 器 将 不 会 转发 任何 广播 包 或 组 播 包 。 

= ”在 不 同 网 段 转发 数据 包 ， 路 由 器 使 用 瑟 地 址 ， 卫 地 址 在 网 络 层 的 报头 中 ， 用 来 决 

定 将 包 转 发 到 的 下 一 跳 路 由 器 。 
= ”路 由 器 可 以 使 用 管理 员 创建 的 访问 表 来 控制 被 允许 进入 或 流出 一 个 接口 的 包 的 安 
全 性 。 
" ”第 三 层 设 备 〈 这 里 是 指 路 由 器 ) 可 以 提供 虚拟 LAN (VLAN) 之 间 的 连接 。 
" ”路 由 器 可 以 为 特定 类 型 的 网 络 流量 提供 服务 质量 (QoS) 。 


网 关 就 是 连接 本 网 段 路 由 器 接口 的 地 址 


i 
Internet 


我 的 职责 就 是 负责 在 不 同 
网 段 之 间 转发 数据 包 ， 不 
管内 网 之 间 相 互 访问 还 是 
访问 Internet， 计 算 机 需 
要 设置 网 关 ， 必 须 的 ! 


全 图 1-44 使 用 路 由 器 连 网 
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区区 数据 封装 


数据 要 通过 网 络 进行 传输 , 要 从 
尺 一 呈 一 J 器 送 ， 果 一 个 了 SS 
高 层 一 层 一 层 地 向 下 传送 ,如果 一 封装 过 程 


二 


mm 


主机 要 传送 数据 到 别 的 主机 ， 先 把 数 
据 装 到 一 个 特殊 的 协议 报头 中 , 这 个 
过 程 就 叫 封装 (encapsulate/encap 
sulation) ， 如 图 1-45 所 示 。 

计算 机 在 传 数据 之 前 需要 将 数 
据 分 段 ， 在 每 段 添加 附加 信息 ， 称 为 
封装 。 封 装 分 为 切片 和 加 控制 信息 。 


数据 段 或 消息 


TCP+ 上 层 数 据 数据 包 


从 事 IT 职业 ， 我 们 经 常会 听 到 re BE 
数据 包 、 数据 帧 这 样 的 名 称 。 当 数 据 0101110101001000010 > 


在 传输 层 添加 上 源 端口 和 目标 端口 ， 
我 们 称 之 为 数据 段 或 消息 ,可 靠 传输 
称 为 数据 段 ， 不 可 靠 传输 称 为 消息 。 在 网 络 层 会 为 数据 段 或 消息 添加 目标 地 址 和 源 地 址 ， 称 
为 数据 包 。 数据 包 在 数据 链 路 层 添 加 了 目标 MAC 地 址 、 源 MAC 地 址 和 帧 校 验 序 列 (FCS ) ， 
称 为 数据 帧 ， 如 图 1-46 所 示 。 


数据 段 和 消息 
数据 包 


数据 帧 
Bit 


全 图 1-45 数据 封装 


全 图 1-46 数据 段 /消息 、 数 据 包 、 数 据 帧 的 概念 
在 这 里 需要 记 住 ,数据 包 


包括 数据 .端口 和 耳 地 址 。 解 封装 过 程 
数据 帧 包括 数据 、 端 口 、 3 


IP 地址 和 MAC 地 址 。 
计算 机 在 接收 到 数据 帧 后 ， 需 要 
去 掉 为 了 传输 而 添加 的 附加 信息 ， 这 


称 为 解 封装 ， 是 上 述 封装 操作 的 逆向 会 
过 程 ， 如 图 1-47 所 示 。 一 一 
Cs 


人 图 1-47 解 封装 过 程 
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传输 模式 


按照 数据 流 的 方向 可 分 为 三 种 传输 模式 : 单 工 、 半 双 工 和 全 双 工 。 
4. 单 王 模 式 


单 工 (Simplex Communication) 模式 的 数据 传输 是 单 向 的 。 通 信 双 方 中 ， 一 方 固 定 为 发 
送 端 ， 一 方 则 固定 为 接收 端 ， 信 息 只 能 沿 一 个 方向 传输 。 

单 工 模 式 一 般 用 在 只 向 一 个 方向 传输 数据 的 场合 。 例如 , 计算 机 与 打印 机 之 间 的 通信 和 是 
单 工 模式 ， 因 为 只 有 计算 机 向 打印 机 传输 数据 ， 而 没有 向 反方 向 的 数据 传输 。 还 有 在 某 些 通 
信 信 道中 ， 如 单 工 无 线 发 送 、 广 播 电 台 和 收音 机 、 电 视 台 和 电视 之 间 的 通信 为 单 工 模式 。 

2。 半 双 工 模式 


半 双 工 模式 是 指 通信 使 用 同一 根 传输 线 ， 既 可 以 发 送 数据 又 可 以 接收 数据 ,但 不 能 同时 
进行 发 送 和 接收 。 数 据 传输 允许 数据 在 两 个 方向 上 传输 , 但 是 ,在 任何 时 刻 只 能 由 其 中 的 一 
方 发 送 数据 ， 另 一 方 接收 数据 。 因 此 半 双 工 模式 既 可 以 使 用 一 根 数据 线 ， 也 可 以 使 用 两 根 数 
据 线 。 它 实际 上 是 一 种 切换 方向 的 单 工 通信 ， 如 同 对 讲 机 《〈 步 话机 ) 一 样 。 半 双 工 通信 中 每 
端 需 有 一 个 收发 切换 电子 开关 ， 通 过 切换 来 决定 数据 向 哪个 方向 传输 。 因 为 有 切换 ， 所 以 会 
产生 时 间 延 迟 ， 信 息 传输 效率 较 低 。 

3. 全 双 工 模式 

全 双 工 模式 是 指数 据 通 信人 允许 数据 同时 在 两 个 方向 上 传输 。 因此 ,全 双 工 通信 是 两 个 单 
工 通 信 方 式 的 结合 , 它 要 求 发 送 设备 和 接收 设备 都 有 独立 的 接收 和 发 送 能 力 , 就 和 电话 一 样 。 
在 全 双 工 模式 中 ,每 一 端 都 有 发 送 器 和 接收 器 ， 有 两 根 传输 线 ， 可 在 交互 式 应 用 和 远程 监控 
系统 中 使 用 ， 信 息 传输 效率 较 高 。 全 双 工 以 太 网 在 原始 的 802.3 Ethemet 中 定义 ， 它 只 使 用 
一 对 电缆 线 ， 数 字 信 号 在 线路 上 是 双向 传输 的 。 当 然 ， 这 与 IEEE 规范 所 讨论 的 全 双 工 工作 
过 程 稍微 有 一 点 不 同 ， 但 Cisce 所 说 的 通常 是 在 以 太 网 中 所 发 生 的 事情 。 


1.7.1 半 双 工 和 全 双 工 以 太 网 


半 双 工 以 太 网 采用 CSMA/CD 协议 ， 以 防止 产生 冲突 。 如 果 产 生 冲 突 ， 就 允许 重 传 。 如 
果 使 用 集线器 组 建 以 太 网 ， 则 必须 工作 在 半 双 工 模式 ， 因 为 端 站 点 必须 能 够 检测 到 冲突 。 在 
Cisco 看 来 ， 半 双 工 以 太 网 一 典型 的 为 10BaseT， 只 有 30% 一 40% 的 效率 。 因 为 一 个 大 的 
10BaseT 网 络 通常 最 多 只 给 出 3 一 4Mb/s 的 带宽 。 

全 双 工 以 太 网 使 用 两 对 电缆 线 ， 而 不 像 半 双 工 模式 那样 使 用 一 对 电缆 线 。 全 双 工 模式 在 
发 送 设备 的 发 送 方 和 接收 设备 的 接收 方 之 间 采 用 点 到 点 的 连接 , 这 就 意味 着 在 全 双 工 数据 传 
送 方式 下 , 可 以 得 到 更 高 的 传输 速率 。 由 于 发 送 数据 和 接收 数据 是 在 不 同 的 电缆 线 上 完成 的 ， 
因此 不 会 产生 冲突 。 

全 双 工 以 太 网 之 所 以 不 会 产生 冲突 ， 是 因为 它 就 像 带 多 个 入 口 的 高 速 公路 , 而 不 是 像 半 
双 工 方式 所 提供 的 只 有 一 条 入 口 的 路 。 全 双 工 以 太 网 能 够 在 两 个 方向 上 提供 100% 的 效率 。 
比如 ， 可 以 用 运行 在 全 双 工 方式 下 的 10Mb/s 以 太 网 得 到 20Mb/s 的 传输 速率 ， 或 者 将 


FastEthemet 的 传输 速率 提高 200Mb/s， 这 是 很 了 不 起 的 。 但 是 ， 这 种 速率 有 时 被 称 为 聚合 速 
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率 ， 也 就 是 说 ， 你 需要 获得 100% 的 效率 ， 就 像 生活 中 的 事情 一 样 ， 这 不 可 能 完全 得 到 保证 ， 
如 图 1-48 所 示 。 
半 双 工 和 全 双 工 以 太 网 


交换 机 全 双 工 


全 图 1-48 半 双 工 和 全 双 工 以 太 网 
全 双 工 以 太 网 可 以 用 于 下 列 三 种 情况 。 
= ”交换 机 到 主机 的 连接 。 
= ”交换 机 到 交换 机 的 连接 。 
" ”使 用 交叉 电缆 的 从 主机 到 主机 的 连接 。 
最 后 ， 请 记 住 下 列 重点 。 
= ”在 全 双 工 模式 下 ， 不 会 有 冲突 域 。 
" ”专用 的 交换 机 端口 可 用 于 全 双 工 结 点 。 
" ”主机 的 网 卡 和 交换 机 端口 必须 能 够 运行 在 全 双 工 模式 下 。 


1.7.2 ”设置 网 卡 的 双 工 模式 


较 新 的 计算 机 网 卡 双 工 模式 或 交换 机 的 端口 双 工 模式 为 自动 协商 方式 。 

自动 协商 的 出 现 是 为 了 保证 新 的 全 双 工 以 太 网 兼容 老 的 以 太 网 。 

自动 协商 的 内 容 主要 包括 双 工 模式 、 运 行 速率 以 及 流 控 等 参数 。 

自动 协商 是 建立 在 双 绞 线 以 太 网 的 底层 机 制 上 的 ， 它 只 对 双 绞 线 以 太 网 有 效 。 

假如 A 和 B 两 端 都 支持 自动 协商 ，A 的 工作 速率 有 10/100/1000Mb/s，B 的 工作 速率 有 
10/100Mb/s， 那 么 它们 协商 的 结果 是 100Mb/s。 这 里 很 好 理解 ， 就 是 一 个 相 与 后 取 最 大 值 的 
结果 。 

假如 A 和 B 两 端 中 ，A 支持 自动 协商 ，B 不 支持 自动 协商 ， 那 么 由 于 强行 设 定 的 站 点 
不 会 告诉 正在 协商 的 站 点 自己 的 速率 和 单 双 工 模式 , 自动 协商 的 站 点 就 必须 自己 决定 合适 的 
速率 和 单 双 工 模式 来 匹配 对 端 ， 这 叫做 平行 检测 。 协 商 站 点 监听 从 对 端 过 来 的 链 路 脉冲 能 
辨别 通信 速率 。10Mb/s、100Mb/s 和 1000Mb/s 以 太 网 使 用 不 同 的 信号 模式 ， 所 以 协商 站 点 
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能 识别 对 端的 工作 速率 ， 然 后 达成 一 致 。 

但 假如 A 和 B 一 个 是 半 双 工 ， 一 个 是 强行 设 定 的 站 点 。 因 为 强行 设 定 的 站 点 不 进行 协 
商 ， 协 商 站 点 无 法 知道 强行 设 定 站 lat me le 根据 802.3 标准 ， 它 必须 与 强 
行 站 点 使 用 相同 的 速率 ， 但 是 工作 在 半 双 工 模式 下 ， 不 能 检测 到 对 端 信息 ， 则 会 产生 全 半 双 
工 不 匹配 的 问题 。 

现在 的 电脑 都 是 支持 自动 协商 的 ， 自 动 协商 不 再 是 问题 了 。 

打开 本 地 连接 状态 对 话 框 ， 如 图 1-49 所 示 ， 单 击 “ 属 性 ”按钮 ， 打 开本 地 连接 属性 对 
话 框 ， 单 击 “配置 ”如 图 1-50 所 示 。 


FEEDERE3 到 ry 站 
| an ma J | | 
| 连接 时 使 用 
Mm: ee mp Ptel FY FRONOOD NT etvork 
is 雪人 下 末 0 
3 pa 有 
tH 机关 
| et Wi rT) 
be CA a 了 EA 属性 色 ) 
汶 帮 代 - 1.55 | 18 an Wieosete RE 
re 厂 未 受 后 芷 进 印 区 城 是 示 图 生 亿 ) 
四 所 和 
LE mm | 
全 图 1-49 本 地 连接 状态 对 话 框 A 图 1-50 本 地 连接 属性 对 话 框 


在 “ 高 级 ” 选项 卡 的 “属性 ” 列表 框 中 选中 Link Speed se 0 rao/ 1o00 wr wevrsry Connsers 2 RE ss 
&& Duplex 选项 , 可 以 看 到 默认 是 自动 检测 方式 , 如 图 1-51 。。 于 ews a lel 


性 ,在 杰 边 单 册 个 相 疏 支 的 属性 ， 直 后 在 


所 示 。 你 可 以 强制 指定 100Mb/s 全 双 工 、100Mb/s 半 双 工 、 
10Mb/s 全 双 工 和 10Mb/s 半 双 工 。 


| CD ww 
全 图 1-51 设置 双 工 模式 


as | Cisco 组 网 三 层 模型 


现在 以 河北 师范 大 学 软件 学 院 网 络 为 例 ， 介 绍 网 络 设备 的 部 署 位 置 和 网 络 设备 的 层次 。 

河北 师范 大 学 软件 学 院 位 于 田家 炳 楼 的 7 楼 、8 楼 和 9 楼 。 在 每 间 教 室 部 署 接 入 层 交 换 
机 ， 每 间 教室 的 交换 机 为 学 生 的 笔记 本 提供 网 络 接 入 。 每 层 都 有 机 房 ， 1 
换 机 ， 连 接 教室 中 交换 机 ， 在 9 楼 有 核心 层 交 换 机 ， 连 接 各 个 楼 层 的 汇聚 层 交 换 机 和 学 
服务 器 ，100Mb/s 光纤 连接 Intemet， 如 图 1-52 所 示 。 
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= ) 9 楼 接 和 层 一 =A 教室 B IE。 教主 C 
\ 饮 汪汪 旺 己 bss 二 二 二 


受 


Ee 


核心 层 设备 “ i dE mn 办 公 区 
一 汪汪 导电 居 与 钴 与 基 与 与 与 


8 楼 EA -1 教室 C 
局 导 导 导电 局 与 汪 bsss 


Em D0 Em dE 一 
[em 期 期 期 期 期 其 其 期 名 和 


机 房 


7 楼 MEA MN 6 
电导 轩辕 局 与 局 忌 Poss 
Mie dn 
坊 轧 忆 


TIE。 教 全 D [= 
期 期 基尼 局 与 汪汪 


机 房 


全 图 1-52 软件 学 院 网 络 示 意图 

Cisco 的 层次 模型 可 以 用 来 帮助 设计 、 实 现 和 维护 可 扩展 、 可 靠 、 性 能 价格 比 高 的 层次 
化 互联 网 络 。Cisco 定义 了 三 个 层次 ， 每 一 层 都 有 特定 的 功能 。 

下 面 是 这 三 个 层次 和 它们 的 典型 功能 。 

= ， 接 入 层 ，Layer 2 Switching， 最 终 用户 被 许可 接 入 网 络 的 点 。 

a ”汇聚 层 ，Layer 3 Switching， 接 入 层 设备 的 汇聚 点 。 

= ”核心 层 ，Layer 2/Layer 3 Switching， 高 速 交 换 背 板 ， 不 进行 任何 过 滤 ， 因 为 会 影响 

转发 速度 。 

1.8.1 核心 层 

从 字面 意义 上 看 ， 核 心 层 (Core Layer) 就 是 网 络 的 核心 。 它 位 于 顶层 ， 负 责 可 靠 而 迅 
速 地 传输 大 量 的 数据 流 。 网 络 核心 层 的 唯一 意图 是 ， 尽 可 能 快 地 交换 数据 流 。 跨 核心 层 传输 
的 数据 流 对 大 多 数 用 户 来 说 是 公共 的 。 然 而 要 记 住 ， 用 户 数据 是 在 汇聚 层 进行 处 理 的 ， 如 果 
需要 的 话 ， 汇 聚 层 会 将 请 求 转发 到 核心 层 

如 果 核 心 层 出 了 故障 ， 就 会 影响 到 每 一 位 用 户 。 因 此 ， 核 心 层 的 容错 就 成 了 一 个 问题 。 
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核心 层 很 可 能 流 过 大 量 的 数据 ， 因 此 ， 速 度 和 延迟 在 这 里 是 分 别 考虑 的 。 给 出 了 核心 层 的 功 

能 ， 现 在 我 们 就 可 以 考虑 一 些 设计 问题 了 。 让 我 们 从 不 应 该 做 的 事情 谈 起 。 
" ”不 要 做 任何 影响 到 通信 流量 的 事 。 其 中 包括 使 用 访问 列表 、 在 VLAN 之 间 进 行路 

选择 以 及 进行 包 过 滤 。 

" ”不 要 在 这 里 支持 工作 组 接 入 。 

" ” 当 互 联网 络 扩展 时 (比如 添加 了 路 由 器 〉， 应 避免 扩充 核心 层 。 如 果 核 心 层 的 性 能 
成 了 问题 ， 就 应 当 升 级 而 不 是 扩充 。 

现在 ,我 们 来 看 看 在 设计 核心 层 时 应 当做 的 一 些 事情 ， 包 括 下 面 这 些 。 

， ”在 设计 核心 层 时 一 定 要 实现 高 可 靠 性 , 考虑 采用 对 速率 和 元 余 都 有 利 的 数据 链 路 层 
技术 ， 比 如 FDDI、 带 有 元 余 链 路 的 快速 以 太 网 ， 甚 至 ATM。 

" ”在 设计 时 一 定 要 时 刻 想 着 传输 速率 ， 核 心 层 的 延迟 应 当 非 常 小 。 

" ”选择 收敛 时 间 短 的 路 由 协议 。 如 果 路 由 表 收 敛 慢 的 话 , 快速 的 和 有 元 余 的 数据 链 路 
连接 就 没有 意义 了 。 


1.8.2 ”汇聚 层 


汇聚 层 (Distribution Layer) 有 时 也 称 为 工作 组 层 ， 它 是 接 入 层 和 核心 层 之 间 的 通信 点 。 
汇聚 层 的 主要 功能 是 提供 路 由 、 过 滤 和 WAN 接 入 ， 如 果 需 要 的 话 ， 它 还 决定 数据 包 可 以 如 
何 对 核心 层 进行 访问 。 汇 聚 层 必须 决定 用 最 快 的 方式 来 处 理 网 络 服务 请 求 。 比 如 ， 一 个 文件 
请 求 如 何 被 转发 到 服务 器 。 在 汇聚 层 决 定 了 最 佳 路 径 后 ， 它 就 将 请 求 转发 到 核心 层 ， 由 核心 
层 将 请 求 快速 传送 到 正确 的 服务 中 。 

汇聚 层 是 实现 网 络 策略 的 地 方 ， 在 这 里 ， 可 以 在 所 定义 的 网 络 操作 中 试验 其 灵活 性 。 在 
汇聚 层 上 ， 有 一 些 通用 的 操作 ， 包 括 下 面 这 些 。 

" 路 由 。 

= ”工具 的 实现 ， 比 如 访问 表 、 包 过 滤 和 排序 。 

" 网络 安全 和 网 络 策略 的 实现 ， 包 括 地 址 翻译 和 防火 墙 。 

" ”重新 分 配 路 由 协议 ， 包 括 静 态 路 由 。 

" 在 VLAN 之 间 进 行路 由 ， 以 及 其 他 工作 组 所 支持 的 功能 。 

" ”定义 广播 域 和 组 播 域 。 

在 汇聚 层 应 当 避 免 做 的 事情 有 限 ， 主 要 是 不 能 使 用 专门 属于 其 他 层 的 功能 。 


1.8.3 ” 接 入 层 


接 入 层 (Access Layer) 控制 用 户 和 工作 组 对 互联 网 络 资源 的 访问 。 接 入 层 有 时 也 称 为 
桌面 层 。 大 多 数 用 户 所 需要 的 网 络 资源 将 在 本 地 获得 ， 由 分 配 层 处 理 远 程 服务 的 数据 流 。 下 
面 是 接 入 层 的 一 些 功能 。 

" ”连续 的 访问 控制 和 策略 (对 汇聚 层 的 延续 》。 

”创建 分 隔 的 冲突 域 〈 分 段 ) 。 

" ”到 汇聚 层 的 工作 组 连通 性 。 
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在 接 入 层 经 常 采用 诸如 DDR 和 以 太 网 交换 这 样 的 技术 ， 这 里 采用 静态 路 由 而 不 是 动 
态 路 由 协议 ) 。 

大 家 应 该 想得到 ， 三 个 不 同 的 层次 并 不 意味 着 需要 三 台 不 同 的 路 由 器 ， 也 许 要 少 一 些 ， 
也 许 要 多 一 些 。 记 住 ， 这 只 是 一 种 逻辑 上 的 分 层 方法 。 


1.8.4 高 可 用 网 络 设计 


思科 的 层次 模型 可 以 帮助 您 设计 、 实 施 和 维持 一 个 可 扩展 、 可 靠 、 最 具 成 本 效益 的 分 层 
互联 网 。 

如 果 企 业 的 网 络 非常 重要 比如 医院 的 网 络 )。 为 了 避免 汇聚 层 和 核心 层 设备 故障 造成 
网 络 故 障 ， 可 以 设计 成 双核 心 层 和 双汇 聚 层 ， 如 图 1-53 所 示 。 


Switch Block 1 Switch Block 2 


Access 


| Distribution 


全 图 1-53 双核 心 层 和 双汇 聚 层 网 络 
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1. 开放 系统 互联 参考 模型 简称 。 
2. OSI 参考 模型 分 为 层 ， 分 别 是 


和 


3. 物理 层 传送 数据 的 单位 是 ， 数 据 链 路 层 传送 数据 的 单位 是 
， 传 输 层 传送 数据 的 单位 是 

4. 在 OSI 参考 模型 中 ， 七 层 协议 中 的 __CL) 利用 通信 子 网 提供 的 服务 实现 两 个 用 户 
进程 之 间 端 到 端的 通信 。 在 这 个 模型 中 ， 如 果 A 用 户 需 要 通过 网 络 向 B 用 户 传送 数 
据 ， 则 首先 将 数据 送 入 应 用 层 ， 在 该 层 为 它 附加 控制 信息 后 送 入 表示 层 ; 在 表示 层 
对 数据 进行 必要 的 变换 并 加 头 标 后 送 入 会 话 层 ; 在 会 话 层 加 头 标 送 入 传输 层 ， 在 传 
输 层 将 数据 分 解 为 (2〉 _ 后 送 至 网 络 层 ， 在 网 络 层 将 数据 封装 成 (3) _ 后 送 
至 数据 链 路 层 ;在 数据 链 路 层 将 数据 加 上 头 标 和 尾 标 封装 成 4) ”后 发 送 到 物理 
层 ; 在 物理 层 数据 以 5) ”形式 发 送 到 物理 线路 。B 用 户 所 在 的 系统 接收 到 数据 
后 ， 层 层 剥 去 控制 信息 ， 把 原 数据 传送 给 B 用 户 。 


(1) A. 网 络 层 B. 传输 层 C. 会 话 层 D. 表示 层 

(2) A. 数据 包 B. 数据 流 C. 数据 段 D. 报 文 分 组 
(3) A. 数据 段 B. 数据 包 C. 路 由 信息 D. 报 文 分 组 
(4) A. 数据 段 B. 数据 包 C. 数据 帧 D. 报 文 分 组 
(5) A， 比特 流 B. 数据 帧 C. 数据 段 D. 报 文 分 组 


5. 路 由 器 是 一 种 常用 的 网 络 互 连 设备 ， 它 工作 在 OSI 的 __C1) _ 上 , 在 网 络 中 它 能 够 


根据 网 络 通信 的 情况 __ 2) _， 并 识别 _ G3) _。 相 互 分 离 的 网 络 经 路 由 器 互 连 
后 _ 4) _。 通常 并 不 是 所 有 的 协议 者 能够 通过 路 由 器 ， 如 __(5〉_ 在 网 络 中 就 


不 能 被 路 由 。 

(1) A. 物理 层 B. 数据 链 路 层 
C. 网 络 层 D. 传输 层 

(2) A. 动态 选择 路 由 B. 控制 数据 流量 
C. 调节 数据 传输 率 D. 改变 路 由 结构 


(3) A. MAC 地 址 

B. 网 络 地 址 

C. MAC 地 址 和 网 络 地 址 

D. MAC 地 址 和 网 络 地 址 的 共同 逻辑 地 址 
(4) A. 形成 了 一 个 更 大 的 物理 网 络 

B. 仍然 还 是 原来 的 网 络 

C. 形成 了 一 个 逻辑 上 单一 的 网 络 

D. 成 为 若干 个 互联 的 子 网 
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(5) A. NetBEU1L 


C. IPX 


6. 属于 物理 层 的 互 连 设备 是 ”。 


A. 中 继 器 
C. 交换 机 


. Apple Talk 


到 


网 桥 


D. 路 由 器 


7. 在 OSI 参考 模型 中 , 物理 层 的 功能 是 (1) ,网 络 层 的 服务 访问 点 也 称 为 (2) ， 
通常 分 为 (3) ”两 部 分 。 


(1) A. 建立 和 释放 连接 B. 透明 地 传输 比特 流 
C. 在 物理 实体 间 传 送 数据 帧 D. 发 送 和 接受 用 户 数据 
(2) A. 用 户 地 址 B. 网 络 地 址 
C. 端口 地 址 D. 网 卡 地 址 
(3) A. 网 络 号 和 端口 号 B. 网 络 号 和 主机 地 址 
C. 超 网 号 和 子 网 号 D. 超 网 号 和 端口 地 址 
8. 在 OSI 参考 模型 中 ， 实现 数据 压缩 功能 。 
A. 应 用 层 B. 表示 层 
C. 会 话 层 D. 网 络 层 


9. 按照 网 络 分 级 设计 模型 ， 通 常 把 网 络 设计 分 为 三 层 ， 即 核心 层 、 汇 聚 层 和 接 入 层 。 
以 下 关于 分 级 网 络 的 描述 中 ， 不 正确 的 是 
A. 核心 层 承担 访问 控制 列表 检查 功能 
B. 汇聚 层 实现 网 络 的 访问 策略 控制 
C. 工作 组 服务 器 放置 在 接 入 层 
D. 在 接 入 层 可 以 使 用 集线器 代替 交换 机 


10. 下 列 设备 可 以 隔离 ARP 广播 帧 。 
A. 路 由 器 B. 网 桥 
C. 以 太 网 交换 机 D. 集线器 
11. 在 OSI 参考 模型 中 ， 实 现 端 到 端的 应 答 、 分 组 排序 和 流量 控制 功能 的 协议 层 
让 
A. 数据 链 路 层 B. 网 络 层 
C. 传输 层 D. 会 话 层 
12. 在 层次 化 园区 网 络 设计 中 ， 是 接 入 层 的 功能 。 
A. 高 速 数 据 传输 B. VLAN 路 由 
C. 广播 域 的 定义 D. MAC 地 址 过 滤 
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计算 机 网络 是 是 是 到 


习题 答案 

1.OSI 

2. OSI 参考 模型 分 为 7 层 ， 分 别 是 应 用 层 、 表 示 层 、 会 话 层 、 传 输 层 、 网 络 层 、 
数据 链 路 层 、 物 理 层 。 

3. 物理 层 传送 数据 的 单位 是 比特 ， 数 据 链 路 层 传送 数据 的 单位 是 数据 帧 ， 传 输 层 
传送 数据 的 单位 是 数据 段 。 

4. (1) C、(2) C、(3) B、(4) C、(5) A 

5. (1) C、(2) A、(3) B、(4) A、(5) A 

6.A 

7. (1) B、(2) B、(3) 了 B 

8.B 

9.A 

10.A 

于 

ii 
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第 2 章 TCP/IP 协议 


传输 控制 协议 /因特网 协议 〈TCP/AP) 组 是 由 美国 国防 部 (DoD ) 所 创建 的 ， 主 要 用 来 
确保 数据 的 完整 性 及 在 毁灭 性 战争 中 维持 通信 。 如 果 能 进行 正确 的 设计 和 应 用 ，TCP/IP 网 
络 将 是 可 靠 的 并 富有 弹性 的 网 络 。 

本 章 将 详细 阐述 TCP/IP 的 层次 结构 , 以 及 每 层 包含 的 协议 ,讲解 了 传输 层 两 个 协议 TCP 
和 UDP 协议 的 应 用 场景 ,应 用 层 协议 和 传输 层 协议 的 关系 ,应 用 层 协 议和 服务 之 间 的 关系 。 
并 且 演 示 了 在 Windows Server 2003 上 安装 配置 FTP 服务 、Web 服务 、POP3 服务 、SMTP 
服务 和 DNS 服务 ， 启 用 服务 器 的 远程 桌面 ， 并 且 配 置 客 户 端 连接 这 些 服务 器 。 

TCP/IP 是 Transmission Control Protocol/Internet Protocol 的 简写 , 中 文 译 名 为 传输 控制 协 
议 / 因 特 网 互联 协议 ， 又 叫 网 络 通信 协议 ， 这 个 协议 是 Internet 最 基本 的 协议 、Intemet 国际 
互联 网 络 的 基础 ;简单 地 说 ， 就 是 由 网 络 层 的 下 协议 和 传输 层 的 TCP 协议 组 成 的 。 

配置 Windows 防火 墙 保护 Windows XP 安全 和 使 用 TCP/IP 筛选 配置 服务 嚣 安全， 防止 
主动 入 侵 计算 机 。 配 置 IPSec 严格 控制 进出 服务 器 的 数据 流量 ， 避 免 木 马 程序 造成 威胁 。 

同时 展示 使 用 捕 包工 具 排 除 网 络 故 障 。 


本 章 主要 内 容 : 
"TCP/IP 协议 和 DoD 模型 
”传输 层 协议 


”应 用 层 协议 

“应 用 层 协议 和 服务 的 关系 
" ”配置 服务 器 网 络 安全 

， ”使 用 捕 包 工具 排除 网 络 故 障 
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攻守 和 osi 和 Dop 模型 


DoD 模型 基本 上 是 OSI 模型 的 一 个 浓缩 版 本 ， 它 只 有 4 个 层次 ， 而 不 是 7 个 ， 它 们 是 : 


" ”应 用 层 
”传输 层 
" ”网络 层 
" 网络 接口 层 


其 中 ， 如 果 在 功能 上 和 OSI 参考 模型 互相 对 应 的 话 ， 如 图 2-1 所 示 。 

" ”DoD 模型 的 Process/Application 层 对 应 OSI 参考 模型 的 最 高 3 层 。 
"DoD 模型 的 Host-to-Host 层 对 应 OSI 参考 模型 的 Transport 层 。 

" ”DoD 模型 的 Internet 层 对 应 OSI 参考 模型 的 Network 层 。 

" ”DoD 模型 的 Network Access 层 对 应 OSI 参考 模型 的 最 低 2 层 。 


OSI TCP/IP 协 议 集 
应 用 层 
Telnets FTP, SMTP, DNS, HTTP 

表示 层 

以 及 其 他 应 用 协议 
会 话 层 
传输 层 TCP ， UDP 
网 络 层 IP, ARP, RARP, ICMP 

2 各 种 通信 网 络 接口 (以 太 网 等 ) 

物理 层 5 物理 网 络 ) 


全 图 2-1 0SI 与 DoD 的 比较 


臣 琵 对 传输 层 协议 


通常 情况 一 个 数据 包 最 大 1500 个 字 节 ， 在 网 络 上 的 通信 有 以 下 两 种 情况 。 

-种 情况 是 ， 一 个 数据 包 就 能 完成 通信 任务 ， 例 如 ， 我 们 上 网 时 输入 网 址 
www.91xueit.com， 你 的 计算 机 需 向 要 域名 解析 服务 器 (DNS) 发 送 一 个 数据 包 查 询 该 域名 
对 应 的 下 地址 , DNS 服务 器 向 你 的 计算 机 返回 一 个 数据 包 告 你 的 计算 机 该 网 址 对 应 的 他 地 
址 ， 这 类 通信 一 个 数据 包 就 能 完成 。 再 比如 QQ 聊天 ， 你 给 好 友 发 送 一 个 信息 “你 好 ! 新 年 
快乐 ” 这 几 个 字 一 个 数据 包 就 能 发 送 给 你 的 好 友 。 

另 一 种 情况 是 ， 一 个 数据 包 不 能 完成 的 通信 任务 ， 需 要 把 信息 分 成 多 个 数据 包 传输 ， 比 
如 ， 我 们 打开 正 浏览 器 ， 访 问 网 站 ， 网 页 中 有 很 多 文字 和 图 片 ， 一 个 数据 包 不 能 发 送 到 客 
户 端 ， 需 要 把 数据 分 成 段 ， 编 上 号 ， 然 后 分 段 传递 到 客户 端 。 针 对 以 上 两 种 情况 ,在 TCP/IP 
协议 栈 ， 传 输 层 有 两 个 协议 一 一 TCP 和 UDP。 
TCP 〈Transmission Control Protocol， 传 输 控制 协议 ): 一 个 数据 包 不 能 完成 通信 任务 的 
通信 在 传输 层 大 多 使 用 TCP 协议 。 传 输 前 数据 分 段 ， 编 号 ， 客 户 端 和 服务 器 建立 会 话 ， 可 
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靠 传输 一 一 传输 过 程 数据 包 丢 失 ， 要 求 服务 器 重 传 。 

UDP (User Data Protocol, 用 户 数据 报 协 议 ): 一 个 数据 包 就 能 完成 的 任务 在 传输 层 大 多 
使 用 UDP 协议 ， 不 可 靠 传 输 ， 服 务 器 和 客户 端 不 建立 会 话 ， 比 TCP 建立 会 话 节省 服务 器 资 
源 ， 数 据 不 分 段 ， 不 编号 。 也 有 一 些 多 播 通信 使 用 UDP 协议 。 
理解 了 TCP 和 UDP 的 应 用 场景 之 后 ， 你 可 以 针对 某 种 应 用 推断 出 其 传输 层 使 用 的 是 
TCP 协议 还 是 UDP 协议 ， 比 如 ， 发 送 电子 邮件 ， 一 个 数据 包 是 不 能 完成 电子 邮件 传输 的 ， 
发 送 电子 邮件 的 SMTP 协议 在 传输 层 是 TCP; 使 用 FTP 上 传 文件 和 下 载 文 件 ， 一 个 数据 包 
也 不 能 完成 文件 的 上 传 和 下 载 ， 因 此 你 可 以 推断 FTP 在 传输 层 使 用 的 也 是 TCP 协议 ; 访问 
Web 站 点 ， 一 个 数据 包 也 不 能 将 Web 页 面 的 图 片 和 文字 传送 到 客户 端 ， 你 可 以 推断 其 在 网 
络 层 使 用 的 是 TCP 协议 。 


大 家 可 以 推断 一 下 , 使 用 QQ 聊天 时 ,传输 层 使 用 的 是 什么 协议 ; 使 用 QQ 给 好 
友 传 文件 时 ， 传 输 层 使 用 的 是 什么 协议 。 由 于 QQ 聊天 ， 是 交互 的 ， 通 常 不 需 
要 连续 传递 大 量 数据 ， 和 好 友 聊 天 的 信息 ， 使 用 一 个 数据 包 通常 就 能 传输 到 客 


户 端 ， 因 此 QQ 聊天 在 传输 层 使 用 的 是 UDP 协议 ; QQ 传 文件 ， 需 要 传递 的 文 
件 通 常 需要 将 文件 分 成 多 个 数据 包 进行 连续 传输 ， 在 传输 过 程 中 不 允许 出 现 丢 
包 ， 因 此 在 传输 层 使 用 TCP 协议 。 可 见 一 个 程序 中 不 同 的 应 用 在 传输 层 可 能 选 
择 不 同 的 协议 。 


2.2.1 ”传输 控制 协议 


传输 控制 协议 (TCP) 通常 从 应 用 程序 中 得 到 大 段 的 信息 数据 ， 然 后 将 其 分 割 成 若干 个 
数据 段 。TCP 会 为 这 些 数据 段 编号 并 排序 ， 这 样 ， 在 目的 方 的 TCP 协议 栈 才 可 以 将 这 些 数 
据 段 再 重新 组 成 原来 应 用 数据 的 结构 。 由 于 TCP 采用 的 是 虚 电 路 连接 方式 ， 这 些 数据 段 在 
被 发 送出 去 后 ， 发 送 方 的 TCP 会 等 待 接收 方 TCP 给 出 一 个 确认 性 应 答 ， 那 些 没 有 收 到 确认 
应 答 的 数据 段 将 被 重新 发 送 。 

当 发 送 方 主机 开始 沿 分 层 模型 向 下 发 送 数据 段 时 ， 发 送 方 的 TCP 协议 会 通知 目的 方 的 
TCP 协议 去 建立 一 个 连接 ， 也 就 是 所 谓 的 虚 电 路 。 这 种 通信 方式 被 称 为 是 面向 连接 的 。 在 这 
个 初始 化 的 握手 协商 期 间 ， 双 方 的 TCP 层 需要 对 接收 方 在 返回 确认 应 答 之 前 ， 可 以 连续 发 
送 多 少数 量 的 信息 达成 一 致 。 随 着 协商 过 程 的 深入 ， 用 于 可 靠 传输 的 信道 就 被 建立 起 来 。 

TCP 是 一 个 全 双 工 的 、 面 向 连接 的 、 可 靠 的 并 且 是 精确 控制 的 协议 , 但 是 要 建立 所 有 这 
些 条 件 和 环境 并 附加 差错 控制 ， 并 不 是 一 件 简单 的 事情 。 记 以 ， 毫 无 疑问 ，TCP 是 复杂 的 ， 
并 在 网 络 开销 方面 是 昂贵 的 。 然 而 ， 由 于 如 今 的 网 络 传输 同 以 往 的 网 络 相 比 ， 已 经 可 以 提供 
更 高 的 可 靠 性 ， 因 此 ，TCP 所 附加 的 可 靠 性 就 显得 没 那么 必要 了 。 


2.2.2 用户 数 据 报 协议 


户 数据 报 协议 (UDP) 适用 于 一 个 数据 包 就 能 完成 的 数据 通信 任务 。 比 如 QQ 聊天 发 
送 的 数据 ， 域 名 解析 (DNS) 一 个 数据 包 就 能 完成 。 这 类 通信 不 需要 在 客户 端 和 服务 器 端 建 
立会 话 ， 节 省 服务 器 资源 。 如 果 网 络 不 稳定 ， 发 送 数据 包 失败 ， 客 户 端 会 重 试 。 

UDP 协议 也 广泛 应 用 到 多 播 和 广播 ， 比 如 多 媒体 教室 程序 将 屏幕 广播 给 学 生 的 计算 机 ， 
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教室 中 的 计算 机 接收 教师 计算 机 电脑 屏幕 。 这 类 通信 虽然 一 个 数据 包 不 能 完成 数据 包 通 信 ， 
但 这 类 通信 不 需要 客户 端 和 服务 器 端 连 接 会 话 。 

UDP 无 须 排序 所 要 发 送 的 数据 段 ， 而 且 不 关心 这 些 数据 段 到 达 目 的 方 时 的 顺序 。 在 发 
送 完 数据 段 后 ， 就 忘记 它们 。 它 不 去 进行 后 续 工作 ， 如 去 核对 它们 ， 或 者 产生 一 个 安全 抵达 
的 确认 ， 它 完全 放弃 了 可 以 保障 传送 可 靠 性 的 操作 。 正 是 因为 这 样 ，UDP 被 称 为 是 一 个 不 
可 靠 的 协议 ， 但 这 并 不 意味 着 UDP 就 是 无 效率 的 ， 它 只 表明 ，UDP 是 一 个 不 处 理 传送 可 靠 
性 的 协议 。 

更 进一步 讲 ，UDP 不 去 创建 虚 电 路 ， 并 且 在 数据 传送 前 也 不 联系 对 方 。 正 因为 这 一 点 ， 
它 又 被 称 为 是 无 连接 的 协议 。 由 于 UDP 假定 应 用 程序 能 保证 数据 传送 的 可 靠 性 ， 因 而 它 不 
需要 对 此 做 任何 的 工作 。 这 给 应 用 程序 开发 者 在 使 用 因特网 协议 栈 时 多 提供 了 一 个 选择 : 使 
用 传输 可 靠 的 TCP， 还 是 使 用 传输 更 快 的 UDP。 

因此 ， 如 果 你 正在 使 用 语音 瑟 (VoIP)， 那 么 你 就 不 会 再 使 用 UDP， 因 为 如 果 数 据 段 未 
按 顺 序 到 达 〈 在 IP 网 络 中 这 是 很 常见 的 )， 那 么 这 些 数据 段 将 只 会 以 它们 被 接收 到 的 顺序 传 
递 给 下 一 个 OSI (DoD ) 层面 。 而 与 之 不 同 的 是 ，TCP 则 会 以 正确 的 顺序 来 重组 这 些 数据 段 ， 
以 保证 秩序 上 的 正确 ，UDP 却 做 不 到 这 一 点 。 


攻 E 忆 区 应 用 层 协议 


传输 层 协议 添加 端口 就 可 以 标识 应 用 层 协议 。 应 用 层 协议 代表 着 服务 器 上 的 服务 ， 服 务 
器 上 的 服务 如 果 对 客户 端 提供 服务 ， 必 须 在 TCP 或 UDP 端口 侦 听 客户 端的 请 求 。 


2.3.1 应 用 层 协议 和 传输 层 协议 的 关系 


传输 层 的 协议 TCP 或 UDP 加 上 端口 就 可 以 标识 一 个 应 用 层 协议 , TCP/IP 协议 中 的 端口 
范围 是 从 0 一 65535。 


1. 端口 的 作用 


端口 有 什么 用 呢 ? 我 们 知道 ， 一 台 拥有 卫 地 址 的 主机 可 以 提供 许多 服务 ， 比 如 Web 服 
务 、FTP 服务 、SMTP 服务 等 ， 这 些 
服务 完全 可 以 通过 1 个 IP 地 址 来 实 标识 应 用 程序 
现 。 那 么 ， 主 机 是 怎样 区 分 不 同 的 网 
络 服务 呢 ? 显然 不 能 只 靠 瑟 地 址 ， 因 
为 IP 地 址 与 网 络 服务 的 关系 是 一 对 
多 的 关系 。 实 际 上 是 通过 “IP 地 址 + 
端口 号 ”来 区 分 不 同 的 服务 的 。 

服务 器 一 般 都 是 通过 知名 端口 号 
来 识别 的 ， 如 图 2-2 所 示 。 例 如 ， 对 
于 每 个 TCP/IP 实现 来 说 , FTP 服务 器 
的 TCP 端口 号 都 是 21， 每 个 Telnet 全 图 2-2 应 用 层 协议 和 传输 层 协议 的 关系 


< 一 端口 号 
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服务 器 的 TCP 端口 号 都 是 23， 每 个 TFTP 简单 文件 传送 协议 ) 服务 器 的 UDP 端口 号 都 是 
69。 任 何 TCP/TP 实现 所 提供 的 服务 都 用 知名 的 1 一 1023 之 间 的 端口 号 。 这 些 知名 端口 号 
Internet 号 分 配 机 构 (Intermet Assigned Numbers Authority，IANA) 来 管理 。 

2. 应 用 层 协议 和 传输 层 协议 的 关系 


下 面 是 一 些 常见 的 应 用 层 协 议和 传输 层 协议 之 间 的 关系 。 
" ”HTTP 默认 使 用 TCP 的 80 端口 标识 

=" FTP 默认 使 用 TCP 的 21 端口 标识 

" ”SMTP 默认 使 用 TCP 的 25 端口 标识 

" ”POP3 默认 使 用 TCP 的 110 端口 

"HTTPS 默认 使 用 TCP 的 443 端口 

" DNS 使 用 UDP 的 53 端口 

" ”远程 桌面 协议 (RDP)〉 默 认 使 用 TCP 的 3389 端口 
" ”Telnet 使 用 TCP 的 23 端口 

" ”Windows 访问 共享 资源 使 用 TCP 的 445 端口 

3. 知名 端口 


知名 端口 即 众所周知 的 端口 号 , 范围 从 0 一 1023, 这 些 端口 号 一 般 固定 分 配给 一 些 服 务 。 
比如 21 端口 分 配给 FTP 文件 传输 协议 ) 服务 ，25 端口 分 配给 SMTP〈 简 单 邮件 传输 协议 》 
服务 ，80 端口 分 配给 HTTP 服务 ，135 端口 分 配给 RPC 〈 远 程 过 程 调 用 ) 服务 等 。 

网 络 服务 是 可 以 使 用 其 他 端口 号 的 , 如 果 不 是 默认 的 端口 号 则 应 该 在 地 址 栏 上 指定 端口 
号 ， 方 法 是 在 地 址 后 面 加 上 冒号 “:”( 半 角 )， 再 加 上 端口 号 。 比 如 使 用 “8080” 作 为 WWW 
服务 的 端口 ， 则 需要 在 地 址 栏 里 输入 “http://www.cce.com.cn:8080”。 

但 是 有 些 系统 协议 使 用 固定 的 端口 号 ， 它 是 不 能 被 改变 的 ， 比 如 139 端口 专门 用 于 
NetBIOS 与 TCP/IP 之 间 的 通信 ， 不 能 手动 改变 。 

客户 端 在 访问 服务 器 时 ， 源 端口 一 般 都 是 动态 分 配 的 1024 以 上 的 端口 。 


2.3.2 ”应 用 层 协议 和 服务 的 关系 


应 用 层 协 议 代 表 的 是 服务 器 上 的 服务 。 

不 管 是 Windows XP 还 是 Windows 7, 无 论 是 Windows Server 2003 还 是 Windows Server 
2008 都 有 内 置 的 一 些 服 务 。 这 些 服务 有 的 是 为 本 地 计算 机 提供 服务 的 ， 比 如 停止 了 Network 
Connections 服务 ， 你 就 不 能 打开 网 络 连接 修改 人 P 地 址 ， 有 的 是 为 网 络 中 的 其 他 计算 机 提供 
服务 ， 这 类 服务 使 用 TCP 或 UDP 的 特定 端口 侦 听 客户 端 请 求 。 

举例 说 明 , 如 图 2-3 所 示 , Server 服务 器 安装 了 Web 服务 、FTP 服务 ,SMTP 服务 和 POP3 
服务 。Web 服务 在 TCP 的 80 端口 侦 听 客户 端 请 求 ，SMTP 服务 在 TCP 的 25 端口 侦 听 客户 
端的 请 求 , POP3 在 TCP 的 110 段 侦 听 客户 端 请 求 , FTP 在 TCP 的 21 端口 侦 听 客户 端 请 求 。 

Client A 访问 Server 的 Web 服务 ， 数 据 包 的 目标 端口 为 80，Client B 访问 Server 的 FTP 
服务 ， 数 据 包 的 目标 端口 为 21。 这 样 ， 服 务 器 Server 就 可 以 根据 数据 包 的 目标 端口 来 区 分 
客户 端 要 请 求 的 服务 。 
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ClientA 
Sexer 侦 听 的 端口 
Web 服 务 TcPy80 < HIZO 
| SMTP 协 议 TCP+25 131.12.12.113 


ClientB 


上 POP3 协 议 TcP+110 
A | 


131.12.12.114 


lp 地址 
131.2.12.12 


全 图 2-3 服务 与 端口 


2.3.3 示例 1: 查看 远程 桌面 侦 听 的 端口 


本 示例 将 会 在 Server 上 启用 远程 桌面 ， 来 查看 远程 桌面 的 侦 听 端口 。 

(1) 如 图 2-4 所 示 ， 在 Server 的 计算 机 上 运行 netstat -an 可 以 看 到 在 TCP 和 UDP 侦 听 
的 端口 。 其 中 TCP 的 445 端口 是 为 其 他 计算 机 访问 其 共享 资源 侦 听 的 端口 。 注 意 
观察 在 TCP 协议 侦 听 的 没有 3389 端口 。 

(2) 如 图 2-5 所 示 ， 输 入 netstat nb 还 可 以 看 到 侦 听 端口 的 进程 或 星 序 。 


seme wwreworccinm FE 
Ee _Ed Yew VM Isbs te 


Sle Ed Yew WM Isbs Help 


ee 0.9.9.8:8 LISTENING a 有 
a | | 
| | | ri | ||] se | 
全 图 2-4 查看 侦 听 端口 全 图 2-5 查看 侦 听 端口 的 进程 
(3) 如 图 2-6 所 示 ， 右 击 桌面 上 的 “我 的 电脑 ”图 标 ， 在 弹出 的 快捷 菜单 中 选择 “属性 
命令 。 


(4) 如 图 2-6 所 示 ， 在 出 现 的 “系统 属性 ”对 话 框 的 “远程 ”选项 卡 中 ， 选 中 “启用 这 
台 计 算 机 上 的 远程 桌面 ” 复 选 框 ， 在 出 现 的 提示 对 话 框 中 ， 提 示 空 密码 不 允许 远程 
登录 ， 单 击 “ 确 定 ”按钮 。 如 图 2-7 所 示 ， 在 Server 上 查看 侦 听 的 端口 ， 可 以 看 到 
在 TCP 协议 侦 听 的 有 3389 端口 。 
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全 图 2-6 启用 远程 桌面 全 图 2-7 查看 侦 听 的 端口 
(5) 如 图 2-8 所 示 ， 输 入 net user administrator al! 重 设 administrator 的 密码 为 al!。 
(6) 如 图 2-8 所 示 ， 输 入 ipconfig 查看 卫 地 址 。 
(7) 如 图 2-9 所 示 ， 在 Client 计算 机 上 ， 选 择 “ 开 始 ” 一 “运行 ”命令 ， 在 弹出 的 对 话 
框 中 输入 “mstsce”， 单 击 “ 确 定 ”按钮 。 
(8) 如 图 2-9 所 示 ， 在 打开 的 远程 桌面 客户 端 对 话 框 中 ， 输 入 Server 的 IP 地 址 ， 单 击 
“连接 ”按钮 。 


2 \Docunents and Settings \Adninistrator net user adninistrator aly 
二 RPR 
设 署 密码 ， 空 密码 用 户 不 允许 远程 桌面 连接 


:Docunents and Settings \Adninistrator> 
+ \Docunonts and Sottings Midniniatratory>ipconfig 


jindows IP Configuration 


查看 IP 地 址 
Ethernet adapter 本 地 连接 : 


Connection-specific DNS Suffix -= 
= 192.168.1.181 
: 255.255.255.0 
Defoult Gatevay :192-168-1.1 


:Docunents and Settings ‘Adninistrator), 


人 图 2-8 重 设 密码 和 查看 IP 地 址 人 图 2-9 使 用 远程 桌面 连接 
(9) 如 图 2-10 所 示 ， 在 “登录 到 Windows” 对 话 框 中 输入 账号 和 密码 ， 单 击 “确定 ” 
按钮 。 


(10) 如 图 2-11 所 示 ， 在 Server 上 查看 远程 桌面 建立 的 会 话 。 
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全 图 2-10 输入 账号 和 密码 人 A 图 2-11 查看 建立 的 会 话 


2.3.4 示例 2: 端口 冲突 造成 服务 启动 失败 
服务 器 上 的 服务 侦 听 的 端口 不 能 冲突 。 和 否则 将 会 造成 服务 启动 失败 。 
某 家 公司 的 网 站 不 能 访问 了 ， 

操作 系统 是 Windows 2003。 打 电 话 ”EECaaarrgrmgrrz 


全 文件 @， 操作 WW 要 看 名 窗口 Q) 帮助 0D [=e 


求助 微软 企业 护航 技术 支持 中 心 ， + 小 | 面 | 忆 | 久 加 | 恩 1 
技术 支持 工程 师 通 过 远程 桌面 登 
录 到 服务 器 ， 选 择 “ 开 始 ” 一 “ 程 
序 ” 一 “管理 工具 ”一 “Intemet 
信息 服务 管理 器 ”命令 ， 发 现 该 
Web 站 点 停止 , 如 图 2-12 所 示 。 右 
击 “ 默 认 网 站 ”节点 ， 在 弹出 的 快 
捷 菜 单 中 选择 “启动 ”命令 ， 启 动 
服务 出 现 错误 提示 : 另 一 个 程序 正 


呈 Internet 信息 服务 
日 鄙 TESTDIDST 林地 汗 算 机 ) TESTHDST (本 地 计算 机 ) 是 IIS ve.0 
内 -加 应 用 程序 池 


在 使 用 此 文件 ， 进 程 无 法 访问 。 根 -| 避 
据 经 验 判 断 ， 这 是 服务 端口 冲突 造 ”so | 
成 的 服务 启动 失败 。 A 图 2-12 端口 被 占用 


这 人 台 服务 器 上 就 一 个 Web 站 点 , 肯定 是 其 他 程序 占用 了 该 Web 站 点 使 用 的 80 端口 , 如 
何 确认 哪个 程序 占用 了 该 端口 呢 ? 


操作 步骤 : 
(1) 如 图 2-13 所 示 ， 在 命令 提示 符 下 输入 netstat -aonb >>C:\p.txt， 这 样 ， 就 可 将 输出 
结果 保存 在 C:\p.txt。 


(2) 打开 C 盘 根 目录 下 的 p.txt。 


所 有 用 命令 提示 符 显 示 的 结果 都 可 以 使 用 >> 路 径 \ 文 件 名 .txt 保存 到 文件 。 如 


ipconfig /all >>C:\ipconfig .txt. 
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gs Ndninistratorynetstat -anb >>cz\p-txt 


:Docunents and Settings \Adninistrator> 


A 图 2-13 将 输出 保存 到 记事 本 
(3) 如 图 2-14 所 示 ，netstat -aonb 命令 能 够 查看 侦 听 的 端口 、 侦 听 端 口 的 进程 号 和 应 用 
程序 的 名 字 。 发 现 是 Web 迅雷 占用 了 80 端口 ， 造 成 服务 器 Web 服务 启动 失败 。 


EREEI3 ED 
文 时 四， 杭 本 四 ， 相 式 由) 坦 看 四， 得 动 
Netive cameeties 到 
Proto Local address Forelgn ddress State PID 
a (Ey LISTEN 1592 
LISTENING 1549 
Tcp LISTENING 72 
[lsas: 
TCP [AT LISTENING 392 
[WebThunder .exe] 


全 图 2-14 查看 占用 80 端口 的 程序 
(4) 解决 办 法 就 是 卸载 Web 迅雷 。 
原来 该 单位 的 系统 管理 员 使 用 服务 器 上 安装 的 Web 迅雷 下 载 了 软件 ， 重 启 服务 器 后 ， 
Web 迅雷 比 Web 服务 先 启动 ， 占 用 了 TCP 的 80 端口 ， 造 成 Web 服务 启动 失败 。 
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下 面 就 以 Web 服务 、FTP 服务 、SMTP 服务 、POP3 服务 和 DNS 服务 为 例 ， 帮 助 读者 
理解 传输 层 协议 和 应 用 层 协 议 的 关系 ， 并 深刻 理解 服务 和 应 用 层 协 议 之 间 的 关系 。 

现在 在 Windows Server 2003 上 安装 Web 服务 、FTP 服务 、SMTP 服务 、POP3 服务 和 
DNS 服务 并 配置 这 些 服 务 ， 查 看 这 些 服务 侦 听 的 端口 ， 并 且 配 置 客 户 端 访 问 这 些 服务 。 配 
置 服务 器 和 客户 端 不 使 用 默认 端口 进行 通信 。 

通过 更 改 服务 侦 听 的 端口 ， 可 以 迷惑 入 侵 者 ， 入 侵 者 通过 端口 扫描 工具 ， 查 看 服务 器 侦 
听 的 端口 ， 就 可 以 判断 服务 器 运行 的 服务 。 如 果 你 的 服务 器 只 对 内 网 的 用 户 提供 服务 ， 或 者 
不 对 Internet 上 的 用 户 提供 服务 , 你 都 可 以 更 改 服务 不 使 用 默认 端口 , 这 样 可 以 迷惑 攻击 者 ， 
增强 服务 器 的 安全 。 


2.4.1 在 Windows Server 2003 上 安装 服务 


读者 朋友 对 在 计算 机 上 安装 程序 一 定 非常 熟悉 。 现 在 介绍 一 下 在 Server 计算 机 上 安装 
Web 服务 、FTP 服务 、SMTP 服务 、POP3 服务 和 DNS 服务 。 
(1) 如 图 2-15 所 示 ， 在 Server 上 更 改 DNS 指向 自己 的 卫 地 址 。 
(2) 如 图 2-16 所 示 ， 选 择 VM 一 Removable Devices 一 CDIDVD (IDE) 一 Settings 菜单 
命令 。 
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全 图 2-15 配置 IP 地 址 全 图 2-16 选择 Windows 安装 盘 

(3) 在 弹出 的 CD/DVD 对 话 框 中 , 选中 Use ISO image file 单 选 按钮 , 单 击 Browse 按钮 ， 
浏览 到 Windows Server 2003 的 安装 盘 ， 单 击 OK 按钮 。 

(4) 如 图 2-17 所 示 ， 选 择 “ 开 始 ” 一 “设置 ”一 “控制 面板 ”命令 ， 在 弹出 的 “控制 
面板 ”窗口 中 ， 单 击 “ 添 加 或 删除 程序 ”图 标 。 

(5) 如 图 2-18 所 示 ， 在 打开 的 “添加 或 删除 程序 ”窗口 中 ， 单 击 “ 添 加 /删除 Windows 
组 件 ”图 标 。 
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|] [esredinputto te VM move he mouse Poter nside or press CltG。 EFLECIEN 
人 图 2-17 单 击 “ 添 加 或 删除 程序 ”图 标 全 图 2-18 添加 或 删除 Windows 组 件 


(6) 如 图 2-19 所 示 ， 在 弹出 的 “Windows 组 件 向 导 ” 对 话 框 中 ， 选 中 “电子 邮件 服务 ” 
复 选 框 ， 以 及 “网 络 服务 ” 复 选 枉 ， 单 击 “ 详 细 信息 ”按钮 。 

(7) 如 图 2-20 所 示 ， 在 弹出 的 “网 络 服务 ”对 话 框 中 ， 选 中 “域名 系统 (DNS) ” 复 
选 框 ， 单 击 “ 确 定 ” 按 钮 。 
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全 图 2-19 选择 “电子 邮件 服务 ” 复 选 框 全 图 2-20 选择 DNS 服务 


(8) 如 图 2-21 所 示 ， 在 “Windows 组 件 向 导 ” 对 话 框 中 ， 选 中 “应 用 程序 服务 器 ” 复 
选 框 ， 单 击 “ 详 细 信息 ”按钮 。 

(9) 如 图 2-22 所 示 ， 在 弹出 的 “应 用 程序 服务 器 ”对 话 框 中 ， 选 中 “Internet 信息 服务 
CIS) ” 复 选 框 ， 单 击 “ 详 细 信息 ” 复 选 框 。 
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全 图 2-21 选择 应 用 程序 服务 全 图 2-22 选择 IIS 服务 

(10) 如 图 2-23 所 示 , 在 弹出 的 “Intemet 信息 服务 (IIS) ”对 话 框 中 , 选中 SMTP Service 
复 选 枉 和 “文件 传输 协议 (FTP) 服务 ” 复 选 框 ， 单 击 “ 确 定 ” 按 钮 。 

(11) 在 “Windows 组 件 向 导 ” 对 话 框 中 ， 单 击 “ 下 一 步 ”按钮 ， 完 成 服务 安装 。 

(12) 如 图 2-24 所 示 ， 安 装 完成 后 ， 在 命令 提示 符 下 ， 输 入 netstat -an 命令 可 以 查看 安 
装 服务 侦 听 的 端口 。 可 以 发 现 没有 进程 在 TCP 的 110 端口 侦 听 。 这 是 为 什么 呢 ? 
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Fle Ege Vew WW Teem Wndows He - 
LIST ToEET TI 本 
Si 
天 
ec 
ET EET EE HSH Te 加 |:| 
Te directinputto thie VIM, move the mouee pointer inside or press cl*G.  @ 风土 | 国 wat] BO [nev + De sr Lh EEE] 站 
全 图 2-23 安装 FTP 和 SMTP 服务 全 图 2-24 查看 侦 听 的 端口 


(13) 选择 “开始 ”一 “程序 ”一 “管理 工具 ”一 “服务 ”命令 ， 打 开 服 务 管理 器 。 

(14) 如 图 2-25 所 示 ， 可 以 看 到 POP3 服务 的 状态 为 “未 启动 ”。 右 击 该 服务 ， 在 弹 
出 的 快捷 菜单 中 ， 选 择 “ 启 动 ”命令 。 

(15) 如 图 2-26 所 示 ， 查 看 TCP 的 110 端口 是 否 侦 听 。 在 命令 提示 符 下 输入 netstat -an 
| find“110” 可 以 筛选 查看 有 110 的 行 。 


CETeL eT Ta Tre 
EE Oe > 


六 各 人 D 二 作 则 可 各 信 vncons 正 下 证 二 上 TN 
CE I oT TE 
pa 


:netstat ! find “110" 
TCP 8.8.89-8:118 89.8.8.0:0 LISTENING™ 


=， 


| 四 他 
| 总 昌 ”|| 面 zr - 尼 控 | 动 天，| 多 有 EE 
全 图 2-25 启动 服务 全 图 2-26 查看 侦 听 的 端口 


2.4.2 配置 FTP 服务 器 


FTP 是 File Transfer Protocol (文件 传输 协议 ) 的 英文 简称 ， 而 中 文 简称 为 “ 文 传 协议 ”。 
用 于 Intermet 上 控制 文件 的 双向 传输 。 同 时 ， 它 也 是 一 个 应 用 程序 (Application)， 用 户 可 以 
通过 它 把 自己 的 PC 与 世界 各 地 所 有 运行 FTP 协议 的 服务 器 相连 , 访问 服务 器 上 的 大 量程 序 
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和 信息 。FTP 的 主要 作用 ， 就 是 让 用 户 连接 上 一 个 远程 计算 机 (这 些 计算 机 上 运行 着 FTP 
服务 嚣 程序) 查看 远程 计算 机 上 有 哪些 文件 , 然后 把 文件 从 远程 计算 机 上 复制 到 本 地 计算 机 ， 
或 把 本 地 计算 机 的 文件 传送 到 远程 计算 机 去 。 
以 下 步骤 将 会 在 Server 上 创建 一 个 允许 匿名 访问 的 FTP 站点， 允许 上 传 和 下 载 。 
(1) 如 图 2-27 所 示 , 选择 “开始 ”一 “程序 ”一 “管理 工具 ”一 “Internet 信息 服务 (IIS ) 
管理 器 ”命令 。 
(2) 如 图 2-28 所 示 ， 在 打开 的 “Intemet 信息 服务 (IS) 管理 器 ”窗口 中 ， 右 击 “ 默 认 
FTP 站 点 ”节点 ， 在 弹出 的 快捷 菜 中 选择 “停止 ”命令 。 


全 图 2-27 打开 IIS 管理 器 全 图 2-28 停止 默认 站 点 


(3) 如 图 2-29 所 示 ， 右 击 “FTP 站 点 ”节点 ， 在 弹出 的 快捷 菜 中 选择 “新 建 ” 一 “FTP 
站 点 ”命令 。 


(4) 在 弹出 的 欢迎 使 用 “FTP 站 点 创建 向 导 ” 设 置 界面 中 ， 单 击 “ 下 一 步 ”按钮 。 
(5) 如 图 2-30 所 示 ， 在 弹出 的 “FTP 站 点 描述 ”设置 界面 中 ， 输 入 描述 信息 ， 单 击 “ 下 
一 步 ” 按 钮 。 


Fe dh Vow VM Taam Wndows Fle Edt View VM Team Windows Help 


Hep 中 
Cet Me Yes E:T: Lslsls BE] -iS 人 13 因 息 回忆 | 器 回 因 当 尼 


move the mouse pointer insde or press Cul+G 


全 图 2-29 新 建 FTP 站 点 全 图 2-30 输入 描述 信息 
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(6) 如 图 2-31 所 示 ， 在 弹出 的 “IP 地 址 和 端口 设置 ”设置 界面 中 ， 选 择 人 P 地 址 和 默认 


端口 21， 单 击 “ 下 一 步 ” 按 钮 。 


(7) 如 图 2-32 所 示 ， 在 弹出 的 “FTP 用 户 隔离 ”设置 界面 中 ， 选 中 “不 隔离 用 户 ” 单 


选 按钮 ， 单 击 “ 下 一 步 ” 按 钮 。 


rN) 


Ele Edit Vew VM Isbe Help 


9 2 
| 


加 Sever x | 名 aert x| 有 
上 Intornet 信和 请 服务 (TIS) 管 更加 | 


了 地 址 和 庙 口 设置 
为 PTF 站 点 指定 了? 地址 和 晴 口 设置 。 
日 


hui 可 


加 
司 
病人 此 FIP 站 点 合用 的 地址: 
晶 
四 
8 


病人 此 FTP 站 点 的 TCF 请 口 哑 认 = 21); 


ro—— 


‘su [FB Ry | 


lo | 


[Ez 1 


Fle Edi View WM Team Wndows Help 


EA rr warns 


TF 用 户 隔 吉 


本 FT? 月 记 限 本 地 们 自己 的 FTP 主 目录 , 


TP 用 户 甩 高 殉 止 户 污 问 此 FTP 站 二 上 其 用 户 的 PTT 主 日 好。 


人 pe 了 ITP 主 晶 录 。 3 


区 
see rr wRRTeY rr EE ) 

A hetine Biree 
i Tiractory 用 户 帐户 确 的 Ir 主 昌 


| 机上 日 | 加 | Cc womsvsrst [ER 信息 最 喇 昌 多 网 EI 
全 图 2-31 选择 IP 地 址 和 端口 


om | 


| 


TT IF 


全 图 2-32 不 隔离 用 户 


(8) 如 图 2-33 所 示 ， 在 弹出 的 “FTP 站 点 
建文 件 夹 “homeWork”， 单 击 “ 确 定 ” 


“ 写 入 ” 复 选 框 ， 单 击 “ 下 一 步 ”按钮 。 


目录 ”设置 界面 中 ， 单 击 “ 浏 览 ”按钮 ， 
在 弹出 的 “浏览 文件 夹 ” 对话 框 中 ， 单 击 “ 新 建文 件 夹 ” 按钮 ， 在 C 盘 根 目 录 下 新 
按钮 。 单 击 “ 下 一 步 ” 按 钮 。 

(9) 如 图 2-34 所 示 ， 在 弹出 的 “FTP 访问 权限 ”设置 界面 中 ， 选 中 “ 读 取 ” 复 选 框 和 


Fle Edt View VM Tesm Windows Halp | | Fe Edt View WM Team Windows Help 


WIor TTT Tl ls 辣 杞 日 吕 同名 交 节 本 襄 回 上 | 品 日 图 | 的 全 


mr ee : TE 


I? 站 点 访问 权限 


变 轩 此 PTP 站 吉 扒 访问 权限 。 


FTP 站 点 自 建 阿 导 
目 


| EE 可 
EP cy) 
© ettermiooraoentne nt 

DIS 


放下 列 可 限 - 
[ 
PEAY 


单 击 “ 下 一 步 ” 充 成 向 导 。 


wT 了 


lle====il 


[ml | BO [me ee = 


bE ed 


上 [大 avernet 信息 最 务工 


| To direct input to this VM move the mouse pointerinside cr press Cl+6 加 加 乔治 | 园 / 
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全 图 2-33 选择 FTP 路 径 


(10) 在 弹出 的 “已 成 功 完成 FTP 站 点 创建 向 导 ” 设 置 界面 中 ， 


To direc input to this VM move the mouse pointerinside or press crlt6 四 加 加 加 | 回 4 


全 图 2-34 选择 FTP 站 点 权限 


单 击 “ 完 成 ”按钮 。 
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(11) 如 图 2-35 所 示 , 在 Client 计算 机 上 , 双击 桌面 上 的 “我 的 电脑 ”图 标 , 打开 Windows 
资源 管理 器 ， 在 “地 址 ” 栏 中 输入 ftp://10.7.10.123 访问 刚才 创建 的 FTP 站 点 ， 并 
将 桌面 上 的 记事 本 文件 拖 忠 到 FTP 站 点 。 说 明 客 户 端 能 匿名 访问 FTP 站 点 且 能 
上 传 文件 。 

(12) 如 图 2-36 所 示 ， 在 Server 计算 机 上 ， 右 击 刚才 创建 的 homeWork FTP 站 点 ， 弹 出 
的 快捷 菜 中 选择 “属性 ”命令 。 


BB Cient - VMware Worksiation I i 
Ele Edt Vew VM Tabs Help | 


本 Saver | 号 aient > 


3 ftp://192. 168. 1- 101:2121/ — Micros, 
ETE TE ja 本 
EECTIEC IGCCEETEETIETETI 


© -Par Erna| 


更 看 中 视 有 可 显示 的 项 目 。 


一 一 To direct input to this VM, mcye the mouse Panterinside or press Gr6 加 四 刚 记 国 
A 图 2-35 向 FTP 上 传 文件 全 图 2-36 FTP 属性 

(13) 如 图 2-37 所 示 ， 在 弹出 的 “homeWork 属性 ”对 话 框 的 “FTP 站 点 ”选项 卡 中 ， 
将 TCP 的 端口 更 改 为 2121， 然 后 单 击 “ 确 定 ” 按 钮 。 

(14) 如 图 2-38 所 示 ， 在 命令 提示 符 下 输入 netstat -an | find" 2121 " ， 能 够 看 到 FTP 侦 
听 的 端口 变 为 2121。 


ET I [ET | 
Be Fle Edt Vew VM Tabs Hep 
可 Server x 上演 Cent x 
lelx 
[ew :Docunencs and Settings Adninistratorycd 、\ 
"| Tonto orate 0.0.0.0:0 ie1ENING 
wu 
是 
Eg 
国 
[= 
EJ wm | mel wy | | @| 
ER Se rr A 本] 证 回国 camssr 一 一 一 EIATCEE 
A 图 2-37 更 改 默 认 端 吕 全 图 2-38 查看 侦 听 的 端口 


(15) 如 图 2-39 所 示 ， 在 Client 计算 机 上 访问 FTP 站 点 应 在 人 P 地 址 后 面 添加 “2121? 
来 表明 不 是 使 用 FTP 默认 端口 访问 FTP 服务 。 
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(16) 如 图 2-40 所 示 ， 在 命令 提示 符 下 输入 netstat-n， 可 以 看 到 使 用 2121 端口 和 FTP 
建立 的 会 话 ， 注 意 观 察 源 端 口 为 大 于 1024 的 动态 端口 。 


ont- Woreviosnion | [Bon Wee von WN 。 EE) 


Hle Edi View VM Iabs Help Hle Edt Ven VM Isbe Help 


Foreign Adire: 
127.9.8.1:1249 CLOSE_WAIT 
192.168.1.181:2121。。 _ESIABLISHED 


Prote local hdiress 
TCP 。 12?-8.8-1z5152 
ITCP 192.168.1.106:1264 


加 汪汪 “不 使 用 默认 端口 ， 需 要 添加 2121 指明 
源 端 口 为 大 于 1024 的 动态 庙 口 ” 目 慰 端口 为 2121 ”和 FTP 建 立 回话 | 


A 图 2-39 使 用 指定 端口 访问 FTP 全 图 2-40 建立 的 会 话 


2.4.3 配置 Web 服务 器 

Web 服务 器 使 用 HTTP 和 客户 端 通信 ， 默 认 使 用 TCP 的 80 端口 侦 听 客户 端的 请 求 。 

超 文本 传输 协议 (HyperText Transfer Protocol，HTTP) 是 互联 网 上 应 用 最 为 广泛 的 一 种 
网 络 协议 ， 所 有 的 WWW 文件 都 必须 遵守 这 个 标准 。 设 计 HITP 最 初 的 目的 是 为 了 提供 一 
种 发 布 和 接收 HTML 页 面 的 方法 。 

以 下 步骤 将 会 创建 一 个 Web 站 点 , 然后 在 客户 端 使 用 默认 端口 80 访问 Web 站 点 , 更 改 
Web 站 点 端口 为 8080， 并 在 客户 端 使 用 8080 访问 Web 站 点 。 

(1) 如 图 2-41 所 示 ， 在 Server 计算 机 上 访问 百度 网 站 ， 选 择 “ 文 件 ” 一 “另存 为 ”命令 。 

(2) 如 图 2-42 所 示 ， 将 网 页 另存 到 C 盘 根 目录 下 baidu 文件 夹 中 。 


Fe ee ew Wh Tam Wedon tetp 
DECETOEEE LOTT= 再 
[El 


He Edt Vew WA Team windows Help 


Ce TL El 上 :到 


四 下 入 hanl2a | > 
Xam [eT,Sim 可 
ER 本 上 En 
Cm 3 
更 Fi | 亢 本 。 | 本 aaaet 巧 SRS | [EST 本 本 而 吕 


Tadierinpuain ths VMLmave the mouse pointerinsde cr press cl-G HW 国 


全 图 2-42 保存 网 页 


J 机 
| 江 交 名 经 存 开 析 中 lSlel|: 
Ez | TN El 务 上 ||EER-Tv EGG  。。。 辣 要 天王 


Te direct input to this VM, move the meuse poiter neide or press CsG 半 对 四 


2-41 选择 “另存 为 ”命令 
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WA 


上 址 


(3) 如 图 2-43 所 示 ， 打 开 “Internet 信息 服务 (IIS) 管理 器 ”窗口 ， 右 击 “ 默 认 网 站 ” 
节点 ， 在 弹出 的 快捷 菜 中 选择 “属性 ”命令 。 

(4) 如 图 2-44 所 示 ， 在 弹出 的 “默认 网 站 属性 ”对 话 框 的 “ 主 目录 ”选项 卡 中 ， 将 本 
地 路 从 更 改 为 “cr/baidu”。 ee 


Fe Ed Vew VM Teem Windows Help Fle Edi Vew VM Team Windows Help 


加 钙 同 多 各 全 仿 固 回回 安 | 回回 圈 骗 驴 [有 四 | 各 清早 : 因 国 加 安 | 吕 回 因 :GG@ 史 


| 各 文件 外 操作 加 查看 名 窑 口 如 而 动 名 
Cid ED pn 


De gt 
EE pe 


es 
所 而 帮 名 人 0] 


查看 上 
AR | 


[Ts | 


i nu |] So 一 Cee | | ww | ww os 
[wml | 8 ET 站 ST | 局 zrin -| 隔 加 各 加 0 EE TE] ET 


To direct input to this VM_move the mouse pointer inside or press Cu-G.- EISL ER To direct input to this VM, move the mouce pointer incide or Prece Cul+G. 加 国葬 咖 国 
全 图 2-43 打开 网 站 属性 全 图 2-44 查看 网 站 目录 
(5) 如 图 2-45 所 示 ， 在 “文档 ”选项 卡 中 ， 单 击 “ 添 加 ”按钮 ， 在 弹出 的 “添加 默认 
内 容 页 ”对 话 框 中 ， 输 入 “百度 一 下 ， 你 就 知道 htm”， 单 击 “ 确 定 ” 按 钮 。 
(6) 如 图 2-46 所 示 ， 在 “启动 默认 内 容 文档 ”选项 组 中 选中 “百度 一 下 ， 你 就 知道 :htm” 
选项 ， 单 击 “ 上 移 ” 按 钮 ， 使 选中 的 选项 移 至 顶端 。 单 击 “ 确 定 ” 按 钮 。 这 就 指定 
其 为 该 网 站 的 首页 。 


Fle Edt View VM Toam Wndows Help 


Fle Edit View 一 Team Windows Help 
昌 川 国 总 入 她 于 回回 口 | 品 回力 包 


昌国 人 | 信 态 全 回回 回 安 | 回回 图 久久 


用 立 档 页 革 了 ) 
将 mm 和 的 的 oh 用 生生 人文 


mm wo 


区 | 三 
EELE 


央 有 il| | 大 四 。 | 加 mreme | 因 5- 下 , | 邮 Pes 插 


电 开 同 | 届 四 。 | 加 mteaet ..，| 匀 百 下 , 。 | 凡 ri 放 a 
To direct input to this VM, move the mouse poirter inside or press cvG 加 回 宙 司 天 4| | To direa rputto this YM, move the mouse poimier nside or press Cr+6、 问 @ 风 于 国 


全 图 2-45 指定 网 站 首页 全 图 2-46 上 移 至 顶端 
(7) 如 图 2-47 所 示 ， 在 “网 站 ”选项 卡 中 ， 可 以 看 到 该 网 站 使 用 的 是 TCP 的 80 端口 。 
单 击 “ 确 定 ” 按 钮 。 


53 


英 基 
计算 机 网 络 (修订 上 


(8) 如 图 2-48 所 示 ， 在 Client 计算 机 上 打开 正 浏览 器 ， 输 入 Server 网 址 ， 可 以 访问 该 
网 站 的 首页 。 
Bener- Were vrsorn 本 
Ele Edt View VM Jabs Help 


| 
ea. 日 四 @| 亡 m 次 名 | 扬名 国 


| EI TT TE 


新 闻 网 页 贴吧 知道 MP3 图 片 视频 地 图 


2 Et nt | se» EE 
可 


全 图 2-47 查看 网 站 使 用 的 端口 全 图 2-48 访问 网 站 


(9) 如 图 2-49 所 示 , 在 Server 计算 机 上 , 将 网 站 侦 听 的 TCP 端口 更 改 为 8080, 单 击 “ 确 
定 ” 按 钮 。 


(10) 如 图 2-50 所 示 ， 在 Client 计算 机 上 ， 打 开 正 ， 在 “地 址 ” 栏 中 输入 
http://10.7.10.239:8080 指定 端口 。 能 够 访问 该 网 站 。 


局 :ever- vmware worksarion 
Ele Edi Yew WM Iabs 


beip 


及 server x | tp cent x 


文件 到 加 加 查看 WV 收 误工 具名 帮助 0 


新 闻 天 页 贴吧 知道 MP3 图 片 视频 地 图 


到 间 百科 hao123 | 更 多 ?> 
| 


A 图 2-49 更 改 TCP 端口 全 图 2-50 ”使 用 指定 的 端口 访问 
(11) 在 命令 提示 符 下 输入 netstat -n 命令 可 以 看 到 Client 和 Server 使 用 TCP 的 8080 端 
口 建立 的 会 话 。 
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2.4.4 配置 SMTP 服务 和 POP3 服务 


SMTP (Simple Mail Transfer Protocol) 即 简单 邮件 传输 协议 ， 它 是 一 组 用 于 由 源 地 址 到 
目的 地 址 传送 邮件 的 规则 ， 由 它 来 控制 信件 的 中 转 方式 。SMTP 协议 属于 TCP/IP 协议 族 ， 
它 帮 助 每 台 计 算 机 在 发 送 或 中 转 信件 时 找到 下 一 个 目的 地 。 通 过 SMTP 协议 所 指定 的 服务 
器 ， 就 可 以 把 E-mail 寄 到 收 信人 的 服务 器 上 ， 整 个 过 程 只 要 几 分 钟 。 SMTP 服务 器 则 是 遵循 
SMTP 协议 的 发 送 邮件 服务 器 ， 用 来 发 送 或 中 转发 出 的 电子 邮件 。 

POP3 (Post Office Protocol 3) 即 邮局 协议 的 第 3 个 版 本 ， 它 是 规定 个 人 计算 机 如 何 连 
接 到 互联 网 上 的 邮件 服务 器 进行 收发 邮件 的 协议 。 它 是 因特网 电子 邮件 的 第 一 个 离线 协议 标 
准 ，POP3 协议 允许 用 户 从 服务 器 上 把 邮件 存储 到 本 地 主机 《〈 即 自己 的 计算 机 ) 上 ， 同 时 根 
据 客户 端的 操作 删除 或 保存 在 邮件 服务 器 上 的 邮件 ， 而 POP3 服务 器 则 是 遵循 POP3 协议 的 
接收 邮件 服务 器 , 用 来 接收 电子 邮件 的 。 POP3 协议 是 TCP/IP 协议 族 中 的 一 员 , 由 RFC 1939 
定义 。 本 协议 主要 用 于 支持 使 用 客户 端 远程 管理 在 服务 器 上 的 电子 邮件 。 

以 下 示例 将 会 配置 Server 上 的 SMTP 服务 和 POP3 服务 , 并 且 在 Client 计算 机 上 配置 邮 
件 服务 器 客户 端 Outlook Express， 收 发 电子 邮件 。 

" ”配置 POP3 服务 ， 创 建 邮箱 。 

" ”配置 SMTP 服务 ， 创 建 远程 域 ， 允 许 将 电子 邮件 发 送 到 Internet。 

" ”配置 服务 器 和 客户 端 不 使 用 默认 的 端口 收 邮 件 。 

操作 步骤 ， 

(1) 如 图 2-51 所 示 ， 在 Server 计算 机 上 ， 选 择 “ 开 始 ” 一 “程序 ”一 “管理 工具 ”一 

“POP3 服务 ”菜单 命令 。 

(2) 如 图 2-52 所 示 ， 在 打开 的 “POP3 服务 ”窗口 中 ， 选 中 SHPC 选项 ， 单 击 “ 新 域 ” 

链接 ， 在 弹出 的 “添加 域 ” 对 话 框 中 ， 输入 域名 ess.com， 单 击 “ 确 定 ” 按 钮 。 
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To direct nput 10 this YM. move the mouse pointer inside or press Crrl+G, EIoL EE] 


To direct input to this VM. move the mause pointer inside or press Ce+G， 


A 图 2-51 选择 “POP3 服务 ”命令 全 图 2-52 创建 域 
(3) 如 图 2-53 所 示 ， 选 中 ess.com 选项 ， 单 击 “ 添 加 邮箱 ”链接 ， 在 弹出 的 “添加 邮 
箱 ” 对 话 框 中 ， 输 入 邮箱 名 称 hanligang， 选 中 “为 此 邮箱 创建 相关 联 的 用 户 ” 复 
55 


英 基 
计算 机 网 络 (修订 版 ) 


选 框 ， 输 入 密码 ， 单 击 “ 确 定 ” 按 钮 。 这 样 ， 也 就 同时 在 该 Server 计算 机 上 创建 
了 一 个 用 户 hanligang。 
(4) 如 图 2-54 所 示 ， 在 弹出 的 “POP3 服务 ”对 话 框 中 ， 注 意 观察 登录 邮箱 账户 名 ， 单 
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To direct input to this VM, move the mouse Poinier indide or prect Ctrl+G. 同名 赐 加 国 
全 图 2-53 添加 邮箱 全 图 2-54 “P0P3 服务 ”对 话 框 
(5) 如 图 2-55 所 示 ， 在 ess.com 域 下 创建 hanxu 邮箱 和 用 户 。 
(6) 如 图 2-56 所 示 ， 右 击 SHPC 节点 ， 在 弹出 的 快捷 菜 中 选择 “属性 ”命令 ， 在 弹出 
的 “SHPC 属性 ”对 话 框 中 ， 可 以 看 到 POP3 服务 的 默认 端口 为 TCP 的 110。 
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To direct input 10 this VM, move the mouse pointer inside or press Cul+G6. ERLEE) 4 
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To direct input 10 this VM. move the mouse pointer inside or press Cr+G. ECL EN 
A 图 2-55 创建 两 个 邮箱 全 图 2-56 查看 POP3 服务 的 端口 
(7) 如 图 2-57 所 示 ， 选 中 “Intemet 信息 服务 (IIS) 管理 器 ”命令 。 
(8) 如 图 2-58 所 示 ， 在 打开 的 “Intemet 信息 服务 (TIS) 管理 器 ”窗口 中 ， 右 击 “ 默 认 
SMTP 虚拟 服务 器 ”节点 ， 在 弹出 的 快捷 菜 中 选择 “属性 ”命令 。 
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(9) 如 图 2-58 所 示 , 在 弹出 的 “默认 SMTP 虚拟 服务 器 属性 ”对 话 框 中 , 单 击 “ 高 级 ” 
按钮 ， 可 以 在 弹出 的 “高 级 ”对 话 框 中 看 到 默认 端口 为 TCP 的 25， 单 击 “ 确 定 ” 
按钮 。 
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To direct input 1o this VM. move the mouse pointer inside or 


odea rpue Ws Wrom te mae poemide or pea ote 名 加 交加 | 
全 图 2-57 选择 “Internet 信息 服务 (IIS) 全 图 2-58 查看 SMTP 默认 端口 

管理 器 ”命令 
(10) 如 图 2-59 所 示 ， 右 击 “ 域 ”节点 ， 在 弹出 的 快捷 菜 中 选择 “新 建 ” 一 “ 域 ”命令 。 
(11) 如 图 2-60 所 示 ， 在 弹出 的 “新 建 SMTP 域 向 导 ” 对 话 框 中 ， 选 中 “远程 ” 单 选 按钮 ， 


单 击 “下 一 步 ” 按 负 。 
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A 图 2-59 新 建 域 A 图 2-60 指定 为 远程 域 
(12) 如 图 2-61 所 示 ， 在 弹出 的 “域名 ”设置 界面 中 ， 输 入 名 称 *.com， 单 击 “ 完 成 ” 
按钮 ， 其 中 ，“*” 是 通配符 。 


(13) 如 图 2-62 所 示 ， 同 样 创建 * net 远程 域 ， 其 中 ，“*” 是 通配符 。 
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To direct input 10 this VM., move the mouse painter nside or press Corl+G EOL EN To direct input to this VM, move the moute pointer intide or press Ctrl+G. 内 辐 则 琶 国 
全 图 2-61 输入 域名 称 全 图 2-62 创建 两 个 远程 域 


(14) 如 图 2-63 所 示 ， 双 击 *.com 选项 ， 在 弹出 的 “*.com 属性 ”对 话 框 的 “常规 ” 选 
项 卡 中 ， 选 中 “人 允许 将 传 入 邮件 中 继 到 此 域 ” 复 选 框 ， 单 击 “ 确 定 ” 按 钮 。 
(15) 如 图 2-64 所 示 ， 同 样 配置 *.net 远程 域 ， 在 “ *.net 属性 ”对 话 框 的 “常规 ” 选 
项 卡 中 ， 选 中 “允许 将 传 入 邮件 中 继 到 此 域 ” 复 选 框 ， 单 击 “ 确 定 ” 按 钮 。 这 样 ， 
SMTP 服务 能 将 onesthan@hotmail.com， han(@inhe.net 邮件 转发 到 这 些 邮局 。 电 子 
邮件 只 要 包括 .com 和 .net 都 能 够 中 继 出 去 。 
te 
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Er 


Fle Ed Vew VM Team Windows Help 


= 上 各 位 喇 无 回 加 占 | 吕 加 图 远志 


上 加 
日 Dan | 
里 侣 mr 站 点 
和 
eg 4 
自 9 名 ， 扩展 
4 ES 下 
四 当前 < 恬 
[el 中 Em | mw)| em ew) 
区 二 js|iels | 


EE 
FTIR [ET 


To direct input 10 this yM. move the mouse painerinsde or press crt6 号 回击 司 回 4 
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To direct input to this VM. move the mouse pointer inside or prass Ci+G. EILEEN 
全 图 2-63 允许 将 传 入 邮件 中 继 到 *. com 全 图 2-64 允许 将 传 入 邮件 中 继 到 *. net 
(16) 如 图 2-65 所 示 ， 在 Client 计算 机 上 ， 选 择 “ 开 始 ” 一 “程序 ”一 Outlook Express 
命令 。 
(17) 如 图 2-66 所 示 , 在 弹出 的 “您 的 姓名 ”设置 界面 中 , 输入 显示 名 , 单 击 “ 下 一 步 ” 
按钮 。 
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To direct input to this VM, move the mouse pointerinside or pre 加 加 二 浊 | 加 /4 


全 图 2-65 选择 Outlook Express 全 图 2-66 输入 显示 名 
(18) 如 图 2-67 所 示 ， 在 弹出 的 “Intemet 电子 邮件 地 址 ”设置 界面 中 ， 输 入 
hanligang@ess.com， 单 击 “ 下 一 步 ” 按 钮 。 
(19) 如 图 2-68 所 示 , 在 弹出 的 “电子 邮件 服务 器 名 ”设置 界面 中 , 选择 POP3 服务 器 ， 
指定 接收 邮件 服务 器 的 地 址 和 发 送 邮件 服务 器 的 地 址 ， 在 这 里 都 是 Server 的 人 P 
地 址 ， 单 击 “ 下 一 步 ” 按 钮 。 
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接收 邮件 (F0F3，IIAP 或 HTTP) 服务 器 CI) 
192 168. 1. 101 
SWT? 服务 强 是 您 和 来 发 送 邮件 的 服务 器 。 


发 送 邮 件 服务 器 GNTF) O) 
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《上 一 步 中 取消 


开始 | | 症 国 || 园 ouoa Eepress 加 本 多国 22:27 
To direct input to this VM, move the mouse pointer inside or pre @@@ 罗 到 | 国 才 


全 图 2-67 配置 电子 邮件 地 址 全 图 2-68 输入 收发 电子 邮件 服务 器 的 地 址 
(20) 如 图 2-69 所 示 ， 在 弹出 的 “Intemet 邮件 登录 ”设置 界面 中 ， 输 入 账户 名 
hanligang@ess.com 和 密码 ， 选 中“ 记 住 密码 ” 复 选 框 ， 单 击 “ 下 一 步 ” 按 钮 ， 完 
成 账户 的 配置 。 
(21) 如 图 2-70 所 示 ， 选 择 “ 工 具 ” 一 “账户 ”菜单 命令 。 
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全 图 2-69 输入 账户 名 和 密码 全 图 2-70 选择 “账户 ”命令 
(22) 如 图 2-71 所 示 ， 在 弹出 的 “Intemet 账户 ”对 话 框 的 “邮件 ”选项 卡 中 ， 选 中 刚 
才 创 建 的 邮件 账户 ， 然 后 单 击 “ 属 性 ”按钮 。 
(23) 如 图 2-72 所 示 ， 在 出 现 的 邮箱 账户 属性 对 话 框 的 “服务 器 ”选项 卡 中 ， 选 中 “我 
的 服务 器 要 求 身份 验证 ” 复 选 框 。 
Workatation [sls]| | Bee- we veer ”| 
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全 图 2-71 “Internet 账户 ”对 话 框 全 图 2-72 配置 验证 

(24) 如 图 2-73 所 示 ， 单 击 “ 创 建 邮件 ”按钮 ， 在 “测试 邮件 ”窗口 的 “ 收 件 人 ”文本 
框 中 输入 “hanligang@ess.com” 和 “hanxu@ess.com”; “ 抄 送 ”文本 框 中 输入 
“onesthan@hotmail.com”， 单 击 “ 发 送 ” 按 钮 。 

(25) 如 图 2-74 所 示 ， 单 击 “ 发 送 /接收 ”按钮 ， 可 以 看 到 收 到 自己 的 邮件 。 
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To direct input to this VM, move the mouse pointer inside or pre 中 a 国 


A 图 2-73 创建 邮件 全 图 2-74 发 送 邮 件 
(26) 如 图 2-75 所 示 ， 在 Server 计算 机 上 ， 打开“POP3 服务 ”窗口 ， 右 击 SHPC 节点 ， 
在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ， 在 弹出 的 “SHPC 属性 ”对 话 框 中 ， 将 
服务 器 端口 更 改 为 120， 单 击 “ 确 定 ”按钮 。 
(27) 如 图 2-76 所 示 ， 右 击 SHPC 节点 ， 在 弹出 的 快捷 菜单 中 选择 “所 有 任务 ”一 “ 重 
启动 ”命令 。 
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| To direct input to this VM, mave the mause pointer incide or press Cl+G SQ | Todirect rpotte this YM, move the mouse painterinside or press Cel+G 局 而 加 国 ， 
全 图 2-75 更 改 邮件 服务 器 端口 全 图 2-76 重启 服务 
(28) 如 图 2-77 所 示 ， 在 命令 提示 符 下 输入 netstat -an 命令 ， 可 以 看 到 出 现 了 在 120 端 
口 侦 听 。 
(29) 如 图 2-78 所 示 ， 在 Client 计算 机 上 ， 单 击 “ 发 送 /接收 ”按钮 ， 客 户 端 使 用 默认 
端口 接收 电子 邮件 失败 。 
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转 Sener_ Vware wedsasion 


局 Client - vmware Workstation 


Ele Edt View WM Iobs Help 


He Ed Yew VM Iobs Hep 


辑 Server x | 名 Cent * 


TCP 8-0.0-0:2121 -0-0-0-8 
netstat -an 
ctive Connections 


Proto Local Rddress 
TCP 2 


末 国 加 加 加 加 加 加 加 加 加 加 加 加 GgS 了 


LISTENING 


State 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
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LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 


回 : 吕 


CITIES [于 TO 


和 sve x| 瑟 Gieat > 


客户 端 还 使 用 TCP 的 110 庙 口 访问 POP3， 访 问 失败 。 


已 守成 0 项 任务 哄 ! 项 ) 


全 图 2-77 查看 侦 听 的 端口 


全 图 2-78 客户 端 访问 失败 


(30) 如 图 2-79 所 示 ， 选 择 “ 工 具 ” 一 “账户 ”菜单 命令 。 
(31) 如 图 2-80 所 示 , 在 弹出 的 “Intemet 账户 ”对 话 框 的 “邮件 ”选项 卡 中 , 选中 10.7.10. 


239 选项 ， 


File Edit View VM Team Windows Help 


a ns 


单 击 “ 属 性 ”按钮 。 


名 厂 克 -四 固 回 口 | 口 回 轿 BS 


BB cien' - VMware Workstation 
Ele Edt Vew \M Tabe Help 


重工 有 ET 


全 图 2-79 配置 0utlook 账户 


(32) 如 图 2-81 所 示 ， 在 弹出 的 “10.7.10.239 属性 ”对 话 框 的 


A 图 2-80 配置 属性 
“高 级 ”选项 卡 中 ， 将 接 


收 邮件 端口 更 改 为 120， 使 之 和 服务 器 侦 听 的 端口 一 致 ， 单 击 “确定 ”按钮 。 
“发 送 /接收 ”按钮 ， 操 作成 功 。 


(33) 如 图 2-82 所 示 ， 再 次 单 击 


Fle Edit Vew VM Team Windows Help 


可 同 冲 全 人 :加 曾 回 口 口 昌 国 SS 


TCP/IP 协议 


a 
加 癌 丽 硬 | 盏 吾 固 百 | 回 回国 | ®S 


传送 
厂 在 服务 器 上 保留 邮 件 副本 LL) 


RA: RA: 


未 志恒 邮件 


[sk] 天 之 后 从 | 而: 
hE i ra 


CD | nw || sy 


|[ 疝 &# 箱 - mtleok Ex 
To direct input to this VM, meve the mouse pointerinsde or press cu 加 思 坊 习 回 


全 图 2-81 更 改 客户 端 端口 


上 | 团 中 己 ", 孚 | wo: 


到 部 价 。! 圭 示 过 茜 二 本 帮工 作 ”| 网 没有 新 邮件 
[IETTERETRT3 ED 工 下 5 


TFT ie or press cu 品名 而 局 国 4 


全 图 2-82 发 送 接收 成 功 


了 时 服务 器 更 改 服务 端口 ， 容 户 端 也 要 做 相应 更 改 ， 才 能 正确 请 求 服务 


2.4.5 ”启用 远程 桌面 且 更 改 默认 端口 


无 论 Windows XP、Windows 7 是 Windows Server 2003 或 Windows Server 2008， 都 提 


供 了 远程 桌面 服务 。 启 用 远程 桌面 


Server。 


有 些 服务 没有 提供 更 改 端口 的 界面 ， 比 如 ， 远 
它 可 以 通过 注册 表 更 改 端口 。 但 是 有 些 系统 协议 使 用 国定 的 端口 号 是 不 外 


， 就 可 以 允许 远程 计算 机 通过 网 络 连接 到 计算 机 ， 进 行 
远程 管理 。 下 面 将 演示 在 Server ee 上 启用 远程 桌 


面 ， 在 Client 计算 机 上 使 用 mstsc 连接 


程 桌面 服务 就 没有 提供 更 改 端 口 的 界面 ， 
被 改变 的 ， 比 如 


139 端口 专门 用 于 NetBIOS 与 TCP/IP 之 间 的 通信 ， 不 能 手动 改变 。 


加 果 你 不 知道 如 何 更 改革 个 服务 的 端口 ， 可 以 访问 http://www.baidu.com 进行 搜索 。 


以 下 示例 将 远程 桌面 服务 的 侦 听 端口 由 默认 的 3389 更 改 为 4000。 
(1) 在 Server 计算 机 上 ， 右 击 “ 我 的 电脑 ”图 标 ， 在 弹出 的 快捷 菜单 中 选择 “属性 ” 


命令 。 


(2) 如 图 2-83 所 示 ， 在 弹出 的 “系统 属性 ”对 话 框 的 “远程 ”选项 卡 中 ， 选 中 “启用 


这 台 计 算 机 上 的 远程 桌面 ” 复 选 框 。 


(3) 如 图 2-83 所 示 ， 在 命令 提示 符 下 输入 netstat -an | find " 3389 " 命令 ， 能 够 看 到 远 


程 桌面 在 3389 端口 侦 听 。 
(4) 单 击 “ 运 行 ” 一 “开始 ”一 
册 表 编辑 器 。 


“运行 ”， 输 入 regedit， 单 击 “ 确 定 ” 按 钮 ， 启 动 注 
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(5) 如 图 2-84 所 示 ， 打 开 注 册 表 编辑 器 ， 展 开 HKEY_LOCAL MACHINE\SYSTEMN 
CurrentControlSet\Control\TerminalServerWinStationsRDP-Tcp\PortNumber 注册 表 项 。 

(6) 如 图 2-84 所 示 ， 在 “编辑 ”菜单 中 ， 选 择 “修改 ”命令 ， 然 后 选中 “十 进 制 ” 单 
选 按钮 。 


Fle Edit View VM Team Windows Help 


日 同 SO 吾 妆 粒 固 国 回 局 | 口 回回: 鲁 负 


Ele Edt View WM Isbs Help 


一 一 
- FEETECEEI -9 

全 现 | 计 算 机 各 | 硬 作 | 高 姑 | 自动 更 新 63 程 文件 也 ， 纺 的 忆 ) 查看 W) 尿酸 天 的) 大 肋 

关机 以 儿 呈 一 个 位 轩 全 用 注 各 计 竺 机 能 方式 - | Cr -spec 

| 入 Muns 

远 查 区 | hethors spr 

厂 局 用 活 程 协助 和 北 放 从 这 各 计 复 机 发 这 省 清史 自 Diet 


了 了解 有 关 远 程 协助 的 更 志 信 息 。 


netstat -an 1 find “3389" 
TCP 9.9.0.0:3389 89.9.8.0:0 


加 utBufLeneth IE6_INORD 


ivy 
远程 桌面 服务 器 侦 听 的 端口 ， 没 有 提供 更 更 改 端口 的 
界面 ， 可 以 通过 更 改 注 册 表 更 改 侦 听 的 端口 ， 


To direct input to this VM, move the mouse ponterinsde or press Ctr 回回 希 汉 | 国志 
全 图 2-83 启用 远程 桌面 全 图 2-84 更 改 注册 表 

(7) 输入 新 端口 号 ， 然 后 单 击 “确定 ”按钮 。 

(8) 退出 注册 表 编 辑 器 。 

(9) 如 图 2-85 所 示 ， 打 开 “ 系 统 属性 ”对 话 框 ， 在 “远程 ”选项 卡 中 ， 取 消 选中 “ 启 
用 这 台 计 算 机 上 的 远程 桌面 ” 复 选 框 ， 单 击 “ 应 用 ”按钮 ， 青 选中 “启用 这 台 计 
算 机 上 的 远程 桌面 ” 复 选 框 ， 单 击 “ 应 用 ”按钮 。 相 当 于 重启 远程 桌面 服务 。 

(10) 如 图 2-86 所 示 ， 在 命令 提示 符 下 输入 netstat -an 命令 ， 可 以 看 到 侦 听 的 端口 被 改 


为 4000。 
dk View VM Team Wndows Help 
COIL NT Tals lrcl= WE 
State 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
计 下 训 上 的 经 贡 硬 证 让 LISTENING 
Ed LISTENING 
“ LISTENING 
计算 机 全 各 LISTENING 
Me LISTENING 
了 解 有 关 远 笠 打 而 的 更 多 信息 。 LISTENING | 
过 运程 用 LISTENING 
| LISTENING | 
LISTENING 
LISTENING 
下 | LISTENING | 
ra | mm ol; | 加 | 
Fi nternet 全 且 | 图 Cc imoomsisy | [回避 本 而 934 = 
To direct input to this VM, move the mcuse Pcinterinside or prese I 2 a 加 | 国 二 | eo rst ER | 
A 图 2-85 重启 远程 桌面 全 图 2-86 查看 侦 听 的 端口 
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(11) 如 图 2-87 所 示 ， 在 Client 计算 机 上 ， 选 择 “ 开 始 ” 一 “运行 ”， 在 打开 的 “运行 ” 
对 话 框 中 ， 输 入 mstsc， 单 击 “确定 ”按钮 。 

(12) 如 图 2-87 所 示 ， 在 弹出 的 “远程 桌面 连接 ”对 话 框 中 ， 输 入 Server 的 了 P 地 址 ， 
单 击 “ 连 接 ” 按钮 。 默 认 是 使 用 3389 端口 连接 服务 器 , 出 现 连接 失败 提示 对 话 框 ， 
单 击 “确定 ”按钮 。 

(13) 如 图 2-88 所 示 ， 在 “远程 桌面 连接 ”对 话 框 中 ， 输 入 Server 的 瑟 地 址 后 面 添加 
冒号 以 及 端口 号 4000， 单 击 “ 连 接 ” 按 钮 。 

国 Cient -vmware Woresiation 全 | Be we Wo (els ls) 


a 
Ele Edt Vew VM Iobs Help [aa ver va mb Help 


eM GY; [1s2. 100. 1.101 .4000 加 


5 


io 司 


5 和 
| 


确定 取 泊 [浏览 如 


全 图 2-87 客户 端 使 用 默认 的 端口 连接 失败 A 图 2-88 使 用 指定 端口 连接 服务 器 
(14) 如 图 2-89 所 示 ， 可 以 看 到 使 用 4000 端口 连接 Server 远程 桌面 成 功 。 
(15) 如 图 2-90 所 示 ， 在 命令 提示 符 下 输入 netstat - 命令 ， 可 以 看 到 远程 桌面 建立 的 
会 话 。 
园 Clent - vMware Workstation le ~ | 


Ele Edt yiew VM Iabs Help 


:netstat —n 


ctive Connections 到 
时 各 Proto Local Address Foreign Address State 
和 的 电 褒 安全 可 午间 导 TCP 127.8.8.1:5152 127.8.0.1:1249 CLOSE_WAI] 


TCP 192.168.1.186:1298 192.168.1.191:4990 ESTABLISHE 


描 你 的 服务 器 侦 听 了 3389 端 口 ， 就 有 可 能 使 用 mstsc 猜 你 服务 
器 的 密码 ， 如 果 他 扫描 到 侦 听 的 是 4000 端 口 ， 他 要 猜 该 端口 是 
啥 服务 ? 


全 图 2-89 使 用 4000 端口 连接 成 功 全 图 2-90 查看 建立 的 会 话 
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2.4.6 配置 DNS 服务 器 


DNS 是 域名 系统 Domain Name System 的 缩写 , 该 系统 用 于 命名 组 织 到 域 层次 结构 中 的 
计算 机 和 网 络 服务 。 在 Intemet 上 域名 与 人 地 址 之 间 是 一 对 一 (或 者 多 对 一 ) 的 关系 ， 域 名 
虽然 便于 人 们 记忆 ， 但 计算 机 之 间 只 能 互相 认识 人 P 地 址 ， 它 们 之 间 的 转换 工作 称 为 域名 解 
析 。 域 名 解析 需要 由 专门 的 域名 解析 服务 器 来 完成 , DNS 就 是 进行 域名 解析 的 服务 器 。DNS 
命名 用 于 Intemet 等 TCP/IP 网 络 中 , 通过 用 户 友 好 的 名 称 查找 计算 机 和 服务 。 当 用 户 在 应 
用 程序 中 输入 DNS 名 称 时 , DNS 服务 可 以 将 此 名 称 解析 为 与 之 相关 的 其 他 信息 , 如 IP 地 
址 。 你 在 上 网 时 输入 的 网 址 ， 是 通过 域名 解析 系统 解析 找到 了 相对 应 的 人 地 址 ， 这 样 才能 
上 网 。 因 此 域名 的 最 终 指向 是 他 。 

下 面 将 演示 配置 企业 自己 的 DNS 服务 器 负责 解析 内 网 服务 器 的 域名 ess.com 和 Internet 
域名 。 内 网 网 站 的 域名 为 www.ess.com，IP 地 址 为 10.7.1.5。 


(1) 如 图 2-91 所 示 ， 在 Server 计算 机 上 ， 选 择 “ 开 始 ” 一 “程序 ”一 “管理 工具 ”一 
DNS 命令 ， 打 开 DNS 管理 工具 。 

(2) 如 图 2-92 所 示 ， 打 开 Server 的 本 地 连接 ， 在 “Intemet 协议 (TCP/IP) 属性 ”对 话 

框 中 ， 将 自己 的 首选 DNS 服务 器 指向 自己 的 他 地 址 ， 这 样 Server 作为 DNS 客户 

机 就 可 以 向 自己 的 DNS 服务 请 求 服务 。 


Be -vewotsgio le 
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Ee Edit Mew VM Tabs Hp 
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ei ODOT 
一 EN Cr 
全 图 2-91 选择 DNS 命令 全 图 2-92 配置 使 用 的 DNS 服务 器 
(3) 如 图 2-93 所 示 ， 在 打开 的 DNS 管理 工具 中 , 右 击 SHPC 节点 ,在 弹出 的 快捷 菜单 
中 选择 “属性 ”命令 。 在 弹出 的 “SHPC 属性 ”对 话 框 的 “ 根 握 示 ” 选 项 卡 中 ， 可 
以 看 到 Intemet 的 作为 根 的 DNS 服务 器 。 只 要 装 上 DNS 服务 ， 就 能 解析 Internet 
上 的 域名 ，DNS 服务 器 会 向 这 些 根 DNS 转发 域名 解析 请 求 。 
(4) 如 图 2-94 所 示 ， 在 命令 提示 符 下 ， 输 入 ping www.inhe.net 命令 可 以 看 到 解析 到 的 
卫 地 址 。 
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(5) 如 图 2-94 所 示 ， 在 命令 提示 符 下 输入 nslookup 命令 ， 回 车 ， 可 以 看 到 提供 名 称 解 
析 的 DNS 服务 器 ， 输 入 www.baidu.com， 回 车 ， 可 以 看 到 解析 到 的 他 地 址 ， 在 这 

里 可 以 看 到 解析 出 两 个 IP 地 址 ， 可 以 断定 百度 网 站 有 镜像 站 点 提供 负载 均衡 。 你 

可 以 输入 www.sohu.com， 查 看 该 域名 对 应 的 IP 地址。 

ser Wore Wellsliion We 


Ee Edi Yew YM Tabs Help 


| Fle Ed View YM Team Windows Help 
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ing staristics for 221.192.155.193: 
Packets: Sent - 4。 Rocceived - 4, Lost - 日 (By losa), 
ipproxinate round trip tines in nilli-ceconde: 
Minimn = 145ns. Maximun = 151ns。 Average = 147ms 


+ nsleolp 
aut Leimea or 一 域名 解析 测试 工具 
timeout vas 2 seconds. 
Can's find sorvor map for addrcss 192,168,1,181: Tinod out 
Fault ore: UnMnown 
sz 4927160.1.18 
wat con 
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解析 到 两 个 地 址 


和 有 


= 
全 图 2-93 查看 DNS 根 提示 全 图 2-94 测试 名 称 解析 

(6) 如 图 2-95 所 示 ， 你 公司 有 一 个 内 网 网 站 ， 用 户 使 用 www.ess.com 域名 访问 。 你 打 
算 内 网 计算 机 使 用 Server 能 够 解析 内 网 网 站 域名 。 你 可 以 在 DNS 服务 器 上 创建 正 
向 查找 区 域 。 右 击 “ 正 向 查找 区 域 ”节点 ， 在 弹出 的 快捷 菜单 中 选择 “新 建 区 域 ” 
命令 。 

(7) 如 图 2-96 所 示 ， 在 弹出 的 “欢迎 使 用 新 建 区 域 向 导 ” 设 置 界面 中 ， 单 击 “ 下 一 步 ” 
按钮 。 
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To direct input to this VM, move the mcuse pointer nside or press Cl+6, 回国 寡 习 | 加 To direct input to this VM, move the mcuse pointer inside or press ctl+6， 回 回击 避 | 回 


全 图 2-95 创建 正 向 区 域 A 图 2-96 DNS 配置 向 导 
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(8) 如 图 2-97 所 示 ， 在 弹出 的 “区 域 类 型 ”设置 界面 中 ， 选 中 “主要 区 域 ” 单 选 按钮 ， 


单 击 “ 下 一 步 ” 按 乌 。 


(9) 如 图 2-98 所 示 ， 在 弹出 的 “区 域名 称 ” 设 置 界面 中 ， 输 入 区 域名 称 ess.com， 单 击 


“下 一 步 ” 按 乌 。 
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Fle Edit View VM Team Wndows Help 


es at 
Ce mene merotott ea) HE ns i | 
个 辅助 区 城 吕 ) 区 城 g 舟 @);: 
i Ee 
个 存根 区 域 
7 ge 机 NR 
中 区 城 众 TIE 服务 怕 志和 六 时 考古 月) WW 
有 天 区 域 各 简 和 i] 详 经 信息 ， 请 单 击 “帮助”。 
mw | wm | mw | wm | 
T 了 
ED risale 
| 本 | | 而 加 | mmmt- psac EE EE | 古国 |enet -meeec 匡 征 全国 0 
To direct input to this VM move the mouse pointer inside or press ctlr6， 回 加 击 局 | 加 | To direct inpul to this VM, move the mouse pointer inside or press ctlr6， 回 加 击 记 | 国 习 
全 图 2-97 选择 区 域 类 型 全 图 2-98 输入 区 域名 称 


(10) 如 图 2-99 所 示 ， 在 弹出 的 “区 域 文件 ”设置 界面 中 ， 保 持 默 认 ， 单 击 “ 下 一 步 ” 


(11) 如 图 2-100 所 示 ， 在 弹出 的 “动态 更 新 ”设置 界面 中 ， 选 中 “不 允许 动态 更 新 ” 


单 选 按钮 ， 单 击 “ 下 一 步 ” 按 钮 。 


Fle Edit View VM Team Windows Help 


日 多 全 六 训导 和 突 加 上 | 站 加 图 机 已 


Fle Edt Vew VM Team Wndows Heolp 


国 胃 [加 上 区 商 芒 了 宙 回扣 | 口上 天 WS 


计生 WE 六 人 ,还 他 用 一 个 一人 Its 服务 名 和 
6 交 lo 


ee 


KA] TE PR] 有 
T 
I [Sl el: | 
| 本 型 | | 夺回 [mnt - msec 隔 多 加 面 05 | 


[ro direct input to this VM move ihe mouse poinier nside or press Cite、 出面 | 国 圳 


全 图 2-99 创建 区 域 文件 


按钮 。 到 目前 为 止 该 DNS 服务 器 负 


To direct input to this VM, move the mcuse pointer inside or press Cul+G， 回回 刚 加 | 贺 / 
全 图 2-100 不 允许 动态 更 新 
(12) 如 图 2-101 所 示 ， 在 弹出 的 “正在 完成 新 建 区 域 向 导 ” 设 置 界面 中 ， 单 击 “ 完 成 ” 


责 ess.com 名 称 空间 的 域名 解析 。 


(13) 如 图 2-102 所 示 ， 在 ess.com 区 域 下 添加 主机 记录 ， 右 击 ess.com 节点 ， 在 弹出 的 


快捷 菜单 中 选择 “新 建 主机 ”命令 。 
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园 Sserer Workstaticn 时 c 
Fie Edit View VM Team Wndows Help Fie Edit View VM Team Wndows Hep 
昌国 四 | 敬 夯 硬 面罩 回 号 | 口 


正在 完成 新 建 区 域 问 导 


个 已 成 克成 了 章 叶 区 央 向 时, 您 指定 了 如 下 诊 重 
起 刀 授 冯 机 林 650 0 1 
名 称 服务 器 95) spe 


让 


要 天 团 此 同 后 于 只 新 区 场 ， 请 提示 “元 帮 ” 


[CS mw | ww | 
和 
[ [Slol: 


Eri | wmot msSnc 加 多 外面 
To direct input to this VM, move the mouse pointer inside or press C+6， 四 


全 图 2-101 完成 区 域 创建 全 图 2-102 添加 主机 记录 

(14) 如 图 2-103 所 示 ， 在 弹出 的 “新 建 主机 ”对 话 框 中 ， 输 入 名 称 和 了 P 地 址 。 

(15) 如 图 2-104 所 示 ， 在 Client 计算 机 上 ， 打 开本 地 连接 TCP/IP 属性 ， 将 首选 DNS 
服务 器 指向 Server 计算 机 的 IP 地址。 


Sst 
EE Er 


Z| | To direcinput to this VM, move the mcuse pointer inside or press Cr+6， 疗 @ 因 | 国 


Serer -VMware Walleilkion | (B ce vare Woeiion 区 
Ele Edt View WM Iabs Help Ele Edt Vew VM Iabs belp 
加 Seve | 号 aeoe | 
Re pr ~ Internet 协议 (ICP/IP) 属性 
妇 直 | 有 | 四 | 关连 区 司 | - - 
和 za 加 | 汉中“ 
由 全 事件 查看 器 各 粮 加 果 为 至 则 使 用 其 区 域名 病 ) QU) Nl | 
GG Er ed | 〇 自动 获得 卫 地 址 四 ) 
wn OE 加 使用 下 本 的 T 地 址 名 ) 
| | Y 本 地址) 
于 地 址 中 ): 子 网 二 友信) 
pee te RL 
默认 克 关 鸭 ) 
厂 他 潜 相 天 的 指针 GTR) 记录 E) 
| 日 动 获得 服务 器 | 地 址 号 ) 
加 使 用 下 面 的 DIS 报 务 器 地 址 E) 
| 首选 INS 荫 务 器 下 ) 
完成 | 备 月 is 骤 务 器 () 
四 
[Cyl eol;| 
志和 开始 | | 茄 加 。 | 国 cm | 他 网 8 六 |[ 训 nomt | 漳 回 各国 1935 | 
全 图 2-103 输入 名 称 和 IP 地址 全 图 2-104 配置 DNS 客户 端 


(16) 如 图 2-105 所 示 ， 在 命令 提示 符 下 输入 ping www.ess.com， 能 够 解析 出 IP 地 址 ， 
输入 ping www.hotmail.com 也 能 够 解析 出 卫 地 址 。 注 意 : 出 现 Request time out， 
并 不 意味 着 你 不 能 访问 该 网 站 。 

(17) 如 图 2-106 所 示 ， 在 命令 提示 符 下 输入 nslookup www.sohu.com 能 够 解析 出 该 网 
站 的 所 有 下 地 址 。 
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回 Cient -Vwore Workstation ma 站 @ diert-yMware Workstation 


| ge Ede Vow wa Te Help 


Ele Edt Yew WM Jabs Hep 


'g: okup wwu .sohu .con 
er nane For address 192.168.1.101: Non-existent 
Default servers are not available 


1 .118.87 
gs.a.s0hu.con 


臣下 对 配置 服务 器 网 络 安全 


以 上 介绍 了 应 用 层 协 议和 传输 层 协议 的 关系 以 及 应 用 层 协 议和 服务 的 关系 。 现 在 进一步 
介绍 如 何 使 用 这 些 知 识 配置 服务 器 安全 。 

下 面 将 介绍 Windows 防火 墙 防止 主动 入 侵 、 配 置 服务 器 的 TCP/IP 筛选 保护 服务 器 的 安 
全 、 使 用 IPSec 严格 控制 进出 服务 器 的 流量 。 


2.5.1 端口 扫描 


黑客 打算 攻击 网 络 上 的 服务 器 ， 首 先 使 用 端口 扫描 工具 ， 扫 描 服 务 器 侦 听 的 端口 ， 这 样 
入 侵 者 就 能 根据 扫描 到 的 端口 ， 知 道 服务 器 [ 面 Gen -we wanton ES] 
运行 的 服务 ， 就 可 以 尝试 使 用 专门 的 攻击 工 Ele Edt Vew VM Tabs Help 
有 具 入 侵 服 务 器 的 某 个 服务 。 如 果 你 的 服务 有 
漏洞 ， 则 入 侵 成 功 。 
下 面 演示 在 Client 上 使 用 端口 扫描 工具 
ScanPort 扫描 服务 器 Server 端口 。 该 软件 可 归 
以 在 网 站 http://down.51cto.com/ 搜 索 并 下 载 。 a ERE 8 1 ii 名 
(1) 将 Server 的 Web 服务 、FTP 服务 、 证 
SMTP 服 务 和 POP3 服务 使 用 的 端 
口 改 回 默 认 值 。 

(2) 如 图 2-107 所 示 ， 在 “起 始 IP” 和 
“结束 IP” 文 本 框 中 输入 Server 的 
人 地址，“ 端 口号 ”文本 框 中 输入 
“1-1024”， 单 击 “ 扫 描 ” 按 钮 。 

(3) 可 以 看 到 扫描 到 了 21、25、53、80、110、135、139 和 445 端口 。 没 有 扫描 出 3389 
端口 ， 那 是 因为 你 指定 的 端口 范围 为 1 一 1024。 


:re | 


全 图 2-107 端口 扫描 结果 
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你 可 以 根据 端口 扫描 的 结果 判定 ， 该 服务 器 运行 了 FTP 服务 、SMTP 服务 ，DNS 服务 、 
Web 服务 和 POP3 服务 ， 并 且 能 够 访问 其 共享 资源 ， 因 为 扫描 到 了 其 在 TCP 的 445 端口 侦 听 。 


2.5.2 ”使 用 Telnet 排除 网 络 故障 


如 果 员 工 告诉 你 , 他 的 计算 机 不 能 访问 网 站 。 你 需要 断定 是 他 的 计算 机 系统 出 了 问题 还 
是 正 浏 览 器 中 了 恶意 插件 ， 或 者 是 网 络 层面 的 问题 。 

如 图 2-108 所 示 , 通过 Telnet 服务 器 的 某 个 端口 , 就 能 断定 是 否 访 问 该 服务 器 的 某 个 服 
务 。 如 果 你 没有 端口 扫描 工具 ， 可 以 使 用 Telnet 测试 远程 服务 器 侦 听 的 端口 。 在 命令 提示 符 


下 输入 telnet 10.7.10.239 80。 


如 图 2-109 所 示 ， 如 果 Telnet 成 功 ， 将 会 和 服务 器 在 该 端口 建立 会 话 。 再 打开 命令 提示 


符 ， 输 入 netstat -n， 可 以 看 到 建立 的 会 话 。 


Ele Edit Vew VM Iabs Help 


C:\WINDOYS\systen32\cnd. exe 


:Vtelnet 192.168.1.101 80 


全 图 2-108 Telnet 测试 
如 图 2-110 所 示 , 是 Telnet 端口 失败 的 
例子 ， 失 败 的 原因 可 能 是 远程 计算 机 防火 
墙 没 有 打开 相应 的 端口 ， 或 远程 服务 器 没 
有 启动 该 端口 对 应 的 服务 ， 或 服务 器 和 客 
户 机 之 间 的 路 由 器 拦截 了 到 服务 器 特定 端 
口 的 数据 包 。 不 管 什么 原因 ，Telnet 特定 端 
口 失败 ， 就 意味 着 不 能 访问 远程 服务 器 上 
的 那个 服务 。 如果 Telnet www.51cto.com 80 
能 够 成 功 , 而 你 的 正 浏览 器 打 不 开 该 网 址 ， 
说 明 是 你 的 正 浏览 器 或 计算 机 出 现 问 题 ， 
即 应 用 层 出 现 问题 ， 而 非 网 络 问题 。 


Ta 


Ee 5Sdk View VM Job Help 


加 sre 天 | 号 dent x| 


ET 


人 图 2-109 查看 Telnet 建立 的 会 话 


EEC Em x | 


Fie Edi Yew WM Tebs Help 


: 48t 1433 
在 棕 拓 到 192-168.1-184- - -不 能 打开 到 主机 的 连接 ， 在 端口 1433: 连接 失败 
av 


全 图 2-110 Telnet 失败 的 例子 
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2.5.3 Windows 防火 墙 保护 客户 端 安全 


Windows XP、Vista 和 Windows 7 都 属于 工作 站 操作 系统 ， 即 安装 在 用 户 工作 或 娱乐 用 
的 计算 机 操作 系统 。 对 于 普通 使 用 者 来 说 ， 要 想 从 网 络 层 面 保 护 计算 机 安全 ， 最 好 启用 
Windows 防火 墙 。Windows 防火 墙 只 阻截 所 有 传 入 的 未 经 请 求 的 流量 ， 对 主动 请 求 传 出 的 
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流量 不 做 理会 。 


如 果 在 网 络 层 不 做 任何 防护 ， 入 侵 者 只 要 知道 了 你 的 计算 机 的 管理 员 账 号 和 密码 ， 就 能 


主动 入 侵 你 的 系统 。 


现在 介绍 一 款 能 够 主动 入 侵 计算 机 , 并 且 能 够 远程 监视 和 控制 计算 机 的 软件 “DameWare 
迷你 远程 控制 ” 用 以 验证 Windows 防火 墙 的 作用 。 该 软件 可 以 在 http://down.51cto.com 网 


站 搜索 DameWare 并 下 载 。 
1. 任务 


= 关闭 Windows XP 的 防火 墙 


" ”入 侵 者 使 用 DameWare 迷你 远程 控制 入 侵 Windows XP 


a ”启用 Windows XP 防火 墙 
" ”入 侵 者 入 侵 失 败 
2. 操作 步骤 


(1) 在 Windows XP 中， 选择“ 开始” 一“ 设置” 一“ 网络 连接 ”命令 。 
(2) 双击 “本 地 连接 ”， 弹 出 “本 地 连接 状态 ”对 话 框 ， 单 击 “ 属 性 ”按钮 。 
(3) 如 图 2-111 所 示 ， 在 弹出 的 “本 地 连接 属性 ”对 话 框 的 “高 级 ”选项 卡 中 ， 单 击 


“设置 ”按钮 。 


(4) 如 图 2-112 所 示 ， 在 弹出 的 “Windows 防火 墙 ” 对 话 框 的 “常规 ”选项 卡 中 ， 选 中 


“关闭 ” 单 选 按 乌 。 


Fle Edt View VM Team Windows Help 


是 胃 [ 玖 加 入 王 面 百 回 扬 | 口 日 回 WS 


上 本 地 连 匡 必 性 
EE 
izdovs 隔 炎 寺 


Ws 


全 图 2-111 “本 地 连接 属性 ”对 话 框 


入 ators 障 小 过 生计 阴 止 未 逝 可 用 户 迁 过 Tateraet 或 网 沪 和 妈 的 计算 
主攻 各 保 护 计 祷 机- 


加 csnmm 


此 这 轩 办 此 所 有 外 关 关 和 接 到 it 基 机 ， 辽 了 在 “ 济 外 ”这 项 卡 
上 总 拓 的 全 
不 共 亲 例外 站 


下 不 Qo 机 二) 连 妇 和 公 共同 绩 时 渍 具 近 项。 
本 


ole 
渤 第 信和 此 过 四， 关闭 Winiows 防火 洁 可 雍 信 | 条 机 更 容易 受 
病 二 和 入 侵 才 交 汉 十 


Z| | To direct input te this VM, move the mouse pointer bress C+G. 国 己 南 男 


全 图 2-112 “Windows 防火 墙 ” 对 话 框 
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(5) 如 图 2-113 所 示 , 选择 “开始 ”一 “运行 ”命令 , 在 弹出 的 对 话 框 中 输入 gpeditmsc， 


单 击 “ 确 定 ” 按 钮 。 


(6) 如 图 2-114 所 示 ， 打 开 组 策略 编辑 工具 ， 展 开 “ 计 算 机 配置 ”\“Windows 设置 ”\ 
“安全 设置 ”\“ 本 地 策略 ”“ 安 全 选项 ”节点 ， 在 详细 栏 ， 双 击 “网 络 访问 : 本 地 
账户 的 共享 和 安全 模式 ”， 在 出 现 的 对 话 框 中 ， 选 中 “经 典 -本 地 用 户 以 自己 的 身 


用 户 访问 共享 资源 。 


re 
加 windowexp - VMware Workstation 


Hap 
LIEIEETOIETETCJLSIGST 有 和 


7 本 


打开 加 ;|medit nse 


果 不 这 样 设置 , Windows XP 默认 只 人 允许 guest 


= 


To dect putto tie YM Fr 6 


全 图 2-113 “运行 ”对 话 框 


全 图 2-114 配置 本 地 安全 设置 


(7) 如 图 2-115 所 示 ， 在 入 侵 者 的 计算 机 上 安装 “DameWare 迷你 远程 控制 ”软件 ， 单 


击 “ 下 一 步 ”按钮 ， 完 成 安装 。 


(8) 如 图 2-116 所 示 ， 打 开 DameWare， 选 择 “ 控 制 和 连接 ”一 “连接 ”菜单 命令 。 


RY - VMware Workstation STEn 
Fle Edt Vew VM Team Windows Help 


四 “ 癌 厂 全 呈 国 回 口 | 口 加 加 : 西 己 


歼 迎 使 用 DameWare Wini Renote 
Control 4.5.0.0 向 导 


在 交 安 六 Janetre Nini amote catra «5.00 到 
二 


维基 你 在 就 安村 荫 开 闭 所 在 其 它 加 于 程 序 。 
单 击 “下 一 步 ” 闪失 ， 或 昌 击 “于 测 ” 退出 磋 革 得 订 。 


FE" | 


中 |= 
ERLEE) 


RE- VMware Workstation [GEEa | 
Fle Edh View VM Team Windows Help 


a 同人 总 防 全 四 固 回避 | 丫 回 图 : 丁 可 


要 人 视 加 亚 兰 V 贡 和 文件 入 S?) 二 00 | 
El KE 


bo lk 2 时 
Ez I J EE LE 


prescultG。， 回回 生 | 国 交 


To direct input to this VM, move the mouse pointer inside or press Cl+ G. 回回 哆 | 男 二 


全 图 2-115 安装 DameWare 


全 图 2-116 入 侵 他 人 计算 机 


(9) 如 图 2-217 所 示 , 在 出 现 的 “远程 连接 ”对 话 框 中 的 “主机 ”文本 框 中 输入 Windows 
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XP 的 地 址 ， 在 “用 户 ” 和 “口令 ”文本 框 中 分 别 输入 连接 Windows XP 的 用 户 和 

口令 ， 该 用 户 必须 是 Windows XP 的 administrators 组 的 成 员 。 单 击 “ 连 接 ” 按 钮 。 

(10) 如 图 2-218 所 示 ， 出 现 提 示 对 话 框 ， 提 示 在 Windows XP 上 没有 安装 服务 。 单 击 
“确定 ”按钮 进行 安装 。 

回信 人 者 -VMware Workstation [区 可 


Fle Edit View WM Team Windows Help 


si 同 四 名 防 他 加 回 口 | 口 斩 图 名 S 


BARE -VMware Workstation EPE | 
Fie Edi View YM Team Windows Help 


国 9 5 负 人 3 固态 回避 | 回回 较 起 


2 区 节 当 而 并 
人 


了 
复制 

要 攻守 服 务 安装 这 项 请 次 下 “ 安 灶 渤 项 - 控 广 。 。_ 安 六 内 项 (1) 
ER 10.7.10.122 弟 时 补 》》 


于 10.710 te2 oi 


厂 者 用 tur) 过 笠 吕 而 
全 和 


厂 通过 民间 这 溢 改 ] 
代理 服务 器 作 称 或 者 IF 地 直 ; 
二 
关注 


| 
a So|: 


器 
Ebi NE AE ETTETIEEET] ELSEE] 


To dhect nput to thia VM, move the meue porter imide orpresculrG 回 @ 国 冉 tor incide or prese Chl+G. 


全 图 2-117 连接 远程 计算 机 全 图 2-118 安装 被 控制 端 

(11) 如 图 2-119 所 示 , 该 程序 会 自动 将 安装 文件 拷贝 到 Windows XP, 并 自动 安装 
即 可 远程 监控 和 操作 Windows XP 了 。 不 过 ， 在 桌面 上 会 出 现 提 示 ， 该 软件 不 算 
是 黑客 工具 。 

(12) 如 图 2-120 所 示 ， 在 命令 提示 符 下 输入 netstat -n， 可 以 看 到 远程 监控 软件 建立 的 


会 话 。 


| © RE - VMware Workstation 
Fle Edt View VM Team Window Help 


TS EN| A -VMware worksatcn [Fee 
Fle Edt Vew VW Team Windows hap 


LDL Te : 册 回 日 吕 人 可 和 日 久 同 昌 总 六 区 四 回回 局 | 口 回 图 | 驴 杞 


全 图 2-119 入 侵 成 功 全 图 2-120 查看 建立 的 会 话 
(13) 在 Windows XP 上， 选择“ 开始 ”一 “运行 ”命令 ， 在 弹出 的 “运行 ”对 话 框 中 
输入 msconfig， 单 击 “ 确 定 ” 按 钮 。 打 开 “ 系 统 配置 实用 程序 ”对 话 框 。 


(14) 如 图 2-121 所 示 ， 在 “服务 ”选项 卡 中 ,， 选中“ 


可 以 看 到 在 Windows XP 上 安装 的 服务 。 
(15) 如 图 2-122 所 示 ， 在 入 侵 省 计算 机 .上 ， 单 击 胆 ， 断 开 Windows XP 的 连接 。 
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Tp/1P th Egg 


隐藏 所 有 Microsoft 服务 ” 复 选 框 ， 


{Window - Vware Workeation 
Fe Edt View VM Team Windows Help 


Io eT TTT 


[本 WE 
Fle Edt View VM Team Windows Help 
国 


辆 9 百 态 区 曾 画 四 百 | 口上 回回 全 全 


[ET 


回 本 有 mierveoet 服务 局) 


CC 


3 


[E09 
Cw ] 


区 


nseenfig 


Cw Cwm Bee.) 


全 图 2-121 安装 的 服务 


| 


ETI: 


人 图 2-122 断 开 和 连接 


To direct input to this YM, move the mouse pointer inside cr press Cul+6,_ 加 加 


ER 


(16) 如 图 2-123 所 示 ， 在 Windows XP 上 ， 启 用 Windows 防火 墙 ， 且 选中 “不 允许 例 


外 ” 复 选 枉 ， 单 击 “ 确 定 ” 按 钮 。 


(17) 如 图 2-124 所 示 ， 在 入 侵 者 计算 机 上 ， 


再 次 连接 Windows XP 失败 。 


同 windcwexp - VMware Workstation 
He Ed View VM Team Windows Help 
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To direct nput to this VM, move the mouse pcirter incide or prace Cri-G. 
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To direct input to this VM, move the mouse pointer inside or press Ctl+G. 


名 国生 | 回忆 


全 图 2-123 启用 防火 墙 


(18) 如 图 2-125 所 示 ， 在 命令 提示 符 下 ， 
(19) 如 图 2-126 所 示 ， 在 Windows XP 上 ping 入 侵 者 计算 机 的 卫 地 址 ， 


全 图 2-124 ”入侵 失败 


ping Windows XP 的 地 址 ， 发 现 不 通 。 
能 够 ping 通 。 


(20) 这 足以 证 明 Windows 防火 墙 的 作用 ， 能 够 防止 主动 的 入 侵 ， 不 拦截 出 去 的 流量 。 
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国 和 者- VMware Workstation 


Ele Edit View WM Iabs Help 


Help 


icrosoft Windows XP [| 5.1.2688] | 
Cc》 版 权 所 有 1985-288@1 Microsoft Corp- | 


: \Docunents and Settings\Adninistrator ping 18.7.18.12 


[C:\Documents and Settings\hanyping 19.7.19.101 


pinging 19.7.18.122 with 32 bytes of data: 
jPinging 18.7.18.181 with 32 bytes of data: 


Request tined out. 
ply fron 19.7-19.191: bytes=32 tine<ins ITL=128 | 
ply from 10.7.10.161: bytes=32 tine<ins TIL=128 


Peauest tined out. ply from 19-7-19.191: bytes=32 tine<lnms ITL=128 


lping statistics for 19.7.10.122: ply fron 10.7.18.181: bytes-32 tine=ins ITL=128 


Packets: Sent = 4。 Received = 8。 Lost = 4 (188x los 


Ping statistics for 18.7.18.181: 
Packets: Sent = 4。 Received = 4。 Lost = 日 (@x loss), 
jppproximate round trip tines in nilli-seconds: 
Mininun = Bns, Maxinun = ins, fverage = Ons 


: \Docunents and Settings \Adninistrator> 


[C:\Documents and Settings\han> 


ml 0 ve lve Baye 


全 图 2-125 不 通 全 图 2-126 通 


2.5.4 使 用 TCP/IP 筛选 保护 服务 器 安全 


对 于 部 署 在 Internet 的 服务 器 ， 安 全 是 必须 要 考虑 的 事情 。 为 了 降低 服务 器 受 攻击 的 危 
险 ， 停 止 不 必要 的 服务 或 在 本 地 连接 的 TCP/IP 属性 中 只 打开 必要 的 端口 。 

如 图 2-127 所 示 ， 实 验 环 
境 为 Server 的 IP 地 址 
192.168.1.200, 运行 着 Web 服 
务 ，SMTP 服务 、POP3 服务 、 
FTP 服务 和 DNS 服务 。Client 
的 了 地 址 为 192.168.1.121。 


TCP 和 UDP 就 相 
当 于 两 房 大 门 


只 允许 Client 计算 机 访问 DNS 服务 UDP+53 人 
Server 计算 机 的 Web 服务 、 
Web 服 务 TCP+80 一 
FTP 服务 和 DNS 服务 。 以 下 SMTP 服 务 TCP+25 
FTp 服务 Tcpt21 《| 
演示 配置 Server 计算 机 的 Server 。 Pop3 服 务 TCP110 Client 


TCP/IP 筛选 上 只 允许 TCP 目标 
端口 为 80 和 21 的 数据 包 进 
入 ， 以 及 只 允许 UDP 目标 端 人 A 图 2-127 TCP/IP 筛选 示意 图 

口 为 53 的 数据 包 进 入 。 

(1) 如 图 2-128 所 示 , 在 Client 计算 机 上 安装 ScanPort 软件 ， 输 入 起 始 地 址 和 结束 地 址 
都 为 Server 计算 机 的 卫 地 址 192.168.1.200， 并 输入 端口 号 的 范围 ， 单 击 “ 扫 描 ” 
按钮 。 

(2) 如 图 2-128 所 示 ， 可 以 看 到 扫描 结果 。 通 过 扫描 结果 ， 可 以 断定 该 服务 器 运行 着 
FTP 服务 、SMTP 服务 ，DNS 服务 、Web 服务 和 POP3 服务 等 。 

(3) 如 图 2-129 所 示 ， 在 Server 上 ,打开 “本 地 连接 属性 ”对 话 框 ， 选 中 “Internet 
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昌国 9 训 隔 全 :天 是 加 上 | 品 日 国信 


BothIP [192 168 . 1 200 
兰 串 IE:| 192 .168 ,1 200 


端口 号 :|1-1024 
超时 :| 200 这 外 
线程 数 ， 四 


单 击 “属性 ”按钮 。 


TCP/IP 协议 


Fe Edt View VM Tcam Windows Hap 


昌明 [ 国 四 :机 二 大 :四 国 加 巴 | 口 加 国 久 负 


六 本 
ar， BIRD 


EOE 


To direct input 10 this VM, move the mouse pointer inside or press cvl+G, 加 名 寡 沁 | 晶 


全 图 2-128 端口 扫描 


(4) 如 图 2-130 所 示 ， 在 打开 的 “Internet 协议 CTCPIP) 属性 ”对 话 框 中 ， 单 击 “高 


级 ”按钮 。 


(5) 如 图 2-131 所 示 ， 在 出 现 的 “高 级 TCP/IP 设置 ”对 话 框 的 “选项 ”选项 卡 中 ， 选 
中 “TCP/IP 筛选 ”选项 ， 单 击 “ 属 性 ”按钮 。 


Fle Ed View VM Team Windows Hap 


时 对 名 从 炉 四 站 加 口中 加 图 SS 


TT 
ma | 


人 


太白 却 认 得 地 地 址 四) 
人 而 用 下 看 了 地 二 @@) 
TG) 
FF 四) 
Bot 


Je eo ao 
[所 二 0 
EEC 


挛 1E 用 玫 曲 1E 人 

个 便 用 下 面 的 ThE 报 务 虽 志 让 到) 

着 Ds 用 各 器 0 [Eee 
备用 DS 服 芝 骂 让 ) 


EE 


To direct nput to th VM move the mouse poirter incide or prece Ctrl+G. 


了 厅 这 搂 记 在 渍 各区 吉 大 用 本 
访 此 下 按 认 订 制 王磊 深 和 胃 和 基 人 0) 


Ee ELAS 


ER a 


全 图 2-129 “本 地 连接 属性 ”对 话 框 


Fle Ed View VM Team Window Help 
日 久 且 加 位 入 三 四 回回 口 | 品 问 较 名 久 


理 认 村 | ms |wns 过 项 | 
lb) 


到 各 卫 入 生 M3 or itanm 


Es 


全 图 2-130 

(6) 如 图 2-132 所 示 ， 在 出 现 的 “TCP/IP 筛选 ”对 话 框 中 ， 选 中 “启用 TCP/IP 筛选 ” 
复 选 框 ，TCP 端口 选中 “只 允许 ” 单 选 按钮 ， 单 击 “ 添 加 ”按钮 。 

(7) 如 图 2-132 所 示 ， 在 出 现 的 “添加 筛选 器 ”对 话 杠 中， 输入 80， 单 击 “ 确 定 ” 按 钮 。 


| 二 二 地 这 拓 攻击 [ETF Te 


“Internet 协议 (TCP/IP) 属性 ”对 话 框 


(8) 如 图 2-133 所 示 ， 同 样 添加 TCP 的 21 


(9) 如 图 2-133 所 示 ，UDP 端口 选中 “只 人 允许” 单 选 按钮 ， 添 加 端口 33， 单 击 “ 确 定 ” 


按钮 。 


To direct input to this VM, meve the mouse pointerincide cr prese Ctrl+G. 


ls 
| 之 本 反 3 | 直 地 洗 按 属性 曙 名 国 547 


FR GHEE 


全 图 2-131 “高 级 TCP/IP 设置 ”对 话 框 


端口 。 


AA 
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CL Tl Tel= 


= | 
mR | 
外 时 部 册 厅 启用 frr/JF 部 此 所 有 医 配 器) 外) 
三 宇 部 次 详 全 ) 6 主 名 六 评 吕 个 主 部 思 许 四 
Ri 寿 四 一 |。 「 六 At 音 加 | 
三 村 1 | [rm a 
人 用 下 面 内 
地 EQ) 
子 网 酌 四 
MA OD) 至 和 
wm. || FP Ce 
CEE | 一 有 0 po 
个 佛 用 下 面 的 


Slovl; 
CE 


| 过 本 二 原矿 ET 


由 8 | 可 加 


ENET 


全 图 2-132 添加 允许 的 TCP 端口 


(10) 如 图 2-134 所 示 ， 提 示 需 要 重启 计算 机 ， 单 击 “ 是 ”按钮 ， 重 启 计算 机 。 
(11) 如 图 2-135 所 示 ， 在 Client 上 ， 发 现 只 能 扫描 到 21 和 80 


描 TCP 的 端口 ， 不 扫描 UDP 端口 。 
和 Web 服务 。 


Fle Edit View VM Team Windows Help 


日 出 交 四 名 六 代 | 四 冲 回 口 | 加 四 图 名 名 


| 天 开始 | | 画 四 。 | 汪 椒 地主 关 攻 [rr 
To direct input to this VM move the mouse pointer nide or press C+G. 加 加 三 豆 | 国 二 


全 图 2-134 需要 重启 计算 机 
(12) 加 


(13) 


| 


[以 通过 Server 进行 域名 解析 。 


(14) 如 
允许 这 些 端口 。 


图 2-137 所 示 ，telnet Server 的 25 端口 和 110 端口 失败 。 


Fle Et View WM Team Wndevs Hep 
量 胃 [因由 :要 两 本 四 羡 量 吕 | 问 加 图 名 名 
a 号 用 Tc3/JF 第 去 拓 有 还 航 器) G) 
和 广 主 名 六 许 吕 ) 三 主 各 共 主人 ed 
三 只 rt 并 信 TF 只 允许 加 A) 
| [二 可 RT 
Hi | |” 入 | 
FR - 
| Em | 
BR BD mw | 可 防 
个 本 用 的 
兰 过 Das 服 请 定 职 测 
名 用 DNS 大 2 一 一 
| 
ER | PETFET TI ELT 
To direct input to this VM, move the mouse pointer inside or precs Ctrl+G, 加 加 出 完 | 国 ; 
全 图 2-133 添加 允许 的 UDP 端口 
端口 ， 端 口 扫描 只 是 扫 


这 样 Client 计算 机 只 能 访问 Server FTP 服务 


Fle Edt Vew WM Team Windows Help 


日 让 [国史 三 两 炳 :四国 回 口 | 品 巴 回 :本 如 


can 了 ort 


信息 设置 
起 始 IPij 192 .168 1 .200 


对 率 IF 1sz 16 1 .200 


192. 188. 1. 200: 21 
192. 183. 1. 200: #0 


现在 只 能 扫 揪 到 
Server 上 TCP/IP 
让 时 中 200 这 筷 | | 逢 选 允 许 的 TCP 
战 吾 灼 10 “| ||| 端口 局 


-| a | 


稍 口 号 中 -1024 


jm 6|- 
更 到 | | 画 日 [ET 


To directinput io this YM, move the mouse pointer inside or press Cl+6.、 回国 宣 洒 | 同 2 


扫描 端口 


男 Cvnoom 


全 图 2-135 
图 2-136 所 示 ， 在 Server 上 ， 在 命令 提示 符 下 输入 netstat -an 查看 侦 听 的 端口 。 
可 以 看 到 该 服务 器 在 TCP 的 25、110 端口 侦 听 。 这 说 明 TCP/IP 筛选 并 不 控制 服 
务 器 侦 听 的 端口 。 
如 图 2-137 所 示 ， 在 Client 上 上， 运行 ping www.ess.com， 可 以 看 到 Client 计算 机 


说 明 TCP/IP 筛选 没有 
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TP/iP 坊 议和 是 昨天 


jo Ei 
Fie Ex View WM Team Wndows Help 
和 如 多 名 全 全 如 司 回忆 | 器 回 图 调配 
ET 
| 
:Mocunents and Settings\Adninistratornetstat -an [C:\>ping wnn.ess.com al 
ctive Connections pinging wuu.ess.con [19.7.1.5] with 32 bytes of data 
Proto Loca: Request timed out ， 域 名 解析 测试 
TCP 0. ee LISTENING Request tined out 
TCP 0 LISTENING Request timed out. | 
TCP @. LISTENING Request timed out. 
I UsTeline bof er oi 
Tp 8 LlSTHING Packets: Sent =- 4, Received - 0, Lost = 4 (166X loss) ， 
TCP 0 LISTENING 
c:\Wtelnet 192.158.1.z68 25 
TCP 0 LISTENING i ,和 连接 | 
Tp @ LISTENING 正在 连 核 到 192.168.1.299.. .不 能 打开 到 主机 的 连接 ， 在 端口 25: 连 接 | 
Tp 0 LISTENING 失败 测试 访问 Server 的 SMTP 访 问 
Tp 0 LISTENING 
c:\Wtelnet 192.168.1.290 119 
op LISTENING 到 192.168.1.209.. 连 口 119: ii 
可 Li 正在 连接 到 | -不 能 打开 到 主机 的 连接 ， 在 端 | 
日 LISTENING 测试 访问 server 的 PoP3 访 问 
9 LISTENING "| 
J 人 面 : 
El re Ds EELT 
To dect input to his VM move the mouse paintr incide or press crlvG. FREL EI 
全 图 2-136 查看 侦 听 的 端口 全 图 2-137 测试 域名 解析 


(15) 如 图 2-138 所 示 ， 在 Client 上 可 以 访问 Server 的 Web 服务 ， 也 能 够 访问 FTP 
服务 。 

(16) 如 图 2-139 所 示 ， 在 Server 上 访问 Client 计算 机 的 共享 文件 夹 ， 输 入 Client 计算 
机 的 用 户 名 和 和 密码， 能够 访问 成 功 。 


Fe Et View WM Toom Windows Help Edit View VM Team windcws | Help | 


贺 9 . 昌 仿 如 加 日 吕 | 口 回 图 负 包 国 | 划 入 本 | 大 回避 | 加 


COUTETSEITEI 习 目 中 


能 够 访问 Web 站 点 


Om -OW Om s FX9 口 - 
Er rrr 
| 


RD I fl io 


| DT, | 


EW 
全 图 2-138 能 够 访问 Web 和 FTP 站 点 全 图 2-139 TCP/IP 第 选 不 影响 出 去 的 流量 
(17) 如 图 2-140 所 示 ， 在 命令 提示 符 下 输入 netstat -n， 可 以 看 到 建立 的 会 话 ， 说 明 
TCP/IP 筛选 并 不 控制 出 去 的 流量 。 
(18) 如 图 2-141 所 示 ， 在 Server 上 ping www.sohu.com， 发 现 不 能 域名 解析 ， 输 入 
nslookup 后 ， 输 入 www.sohu.com， 可 以 看 到 解析 失败 。 为 什么 Server 不 能 将 域 
名 解析 呢 ? 
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加 Serer -vmware Wortstation pap 
He Edt Yew WM Tabs Hep 


server | 吕 cer =| 


es Rs 2003 meete Corp. 


FE: Docunents and settings\Adninistratormetstat -n 


jn Address State 6 Se 
192.168.1.200:1105 = 192.168.1.121:139 TIME_WRIT | 4158- 

192.168.1-299:1l67 = 192-168-I-121:139 

192.168.1.209:1168 192.168-1.121:445 ESTABLISHED 


TCP/IP 流 旺 不 影响 服务 器 主动 出 去 的 流 旦 


[ce: Docunents and Sottings ndninistratery> 


i 


ol | 


同村 多 而 | 


[ER 本 ECDISIEEEEEE | ec wove | 
全 图 2-140 查看 建立 的 会 话 全 图 2-141 域名 解析 

Server 为 什么 不 能 解析 Intemet DNS 服务 器 的 域名 ? 举例 说 明 : Server 向 Internet DNS 
发 送 域名 解析 的 请 求 ， 协 议 是 UDP， 目 标 端口 为 53， 源 端口 为 1027， 当 数据 包 发 出 去 后 ， 
由 于 UDP 不 建立 会 话 ， 发 出 去 的 数据 包 或 请 求 就 忘记 了 ， 在 域名 解析 结果 返回 来 的 时 候 ， 
由 于 TCP/AP 筛选 UDP 只 打开 了 
53 端口 ,而 没有 打开 1027 端口 ， 
因此 被 TCP/IP 筛选 拦截 。 因 此 
域名 解析 失败 。 


为 什么 Server 的 TCP/IP 得 a 
选 访 问 Client 的 共享 文件 夹 ? 举 犁 


UDP 
N53 InternetDNS 


例 说 明 : 如 图 2-142 所 示 , Server 

访问 Client 的 共享 文件 夹 ， Server 
Server 向 Client 发 送 访问 共享 文 

件 夹 的 请 求 数据 包 ， 使 用 TCP 

协议 ， 目 标 端口 为 445， 源 端口 

为 1045， 因 为 TCP 是 建立 会 全会 放 

的 ， 所 以 Server 会 临时 打开 端口 1045， 这 样 Client 返回 的 数据 包 ， 能 够 进入 Server。 


2.5.5 ”使 用 IPSec 保护 服务 器 安全 


不 管 是 在 Windows XP 上 启用 防火 墙 还 是 Windows Server 上 配置 TCP/IP 筛选 ， 都 不 能 
严格 控制 出 去 的 流量 。 因 此 如 果 你 的 服务 器 中 了 木马 程序 〈 比 如 中 了 灰 铝 子 木马 程序 )， 该 
程序 会 主动 连接 入 侵 者 建立 会 话 ， 入 侵 者 就 能 监控 和 控制 你 的 服务 器 了 。 

最 大 化 配置 服务 器 网 络 安全 ， 你 可 以 严格 控制 进出 服务 器 的 流量 ， 比 如 你 的 服务 器 是 
Web 服务 器 ， 你 可 以 配置 只 允许 TCP 目标 端口 80 的 数据 包 进 入 服务 器 ，TCP 源 端口 为 80 
的 数据 包 离 开 服 务 器 。 这 样 即便 你 的 服务 器 中 了 灰 铝 子 木 马 程序 ， 也 不 能 主动 连接 入 侵 者 。 
这 种 控制 方式 可 以 通过 配置 服务 器 IPSec 来 实现 ，Windows XP，Windows Server 2003 和 
Windows Server 2008 都 支持 IPSec。 
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下 面 就 以 通过 IPSec 配置 Web 服务 
器 安全 ， 防 止 灰 饱 子 木马 程序 为 例 。 演 
示 入 侵 者 制作 木马 程序 ， 在 Server 上 启 
用 Windows 防火 墙 ， 安 装 木 马 程序 ， 在 目标 端口 80 源 端口 1034 
入 侵 者 远程 控制 服务 器 。 配置 IPSec, 如 
图 2-143 所 示 ， 只 允许 TCP 的 目标 端口 
为 80 数据 包 进 入 服务 器 ， 只 允许 TCP 
的 源 端 口 为 80 的 数据 包 离开 服务 器 。 验 Web 服 务 器 
证 木马 程序 不 能 连接 入 侵 者 。 A 图 2-143 访问 Web 服务 器 的 流量 
入 侵 者 的 下 地址 为 192.168.1.121， 
服务 器 Server 的 他 地址 为 192.168.1.200。 


1. 制作 木马 程序 


灰 铅 子 木马 程序 ， 可 以 在 http://down.51cto.com/ 搜 索 “ 灰 饮 子 ”可 以 找到 并 下 载 。 
中 了 灰 钥 子 木马 程序 ， 会 主动 连接 到 入 侵 者 ， 入 侵 者 就 可 以 远程 监控 和 操控 中 了 木马 的 服 
务 器 。 这 就 要 求 木马 程序 能 够 连接 到 入 侵 者 ， 因 此 生成 的 木马 程序 必须 指定 入 侵 者 的 瑟 地 址 。 
(1) 如 图 2-144 所 示 ， 在 入 侵 者 的 计算 机 上 安装 并 运行 灰 铝 子 木马 程序 ， 单 击 “ 配 置 服 
务 程 序 ” 按 钮 。 提 示 木 马 程序 在 中 了 招 的 计算 机 上 是 以 服务 的 方式 存在 的 。 
(2) 如 图 2-145 所 示 ， 在 出 现 的 “服务 器 配置 ”对 话 框 的 “自动 上 线 设 置 ” 中 输入 入 侵 
者 的 他 地 址 。 


IPSec 控 制 进出 流量 


源 端 口 80 目标 端口 1034 
一 -> 


RemolePC 


Fle Ede View VM Team Widom Help | me Edn Vew WM Team Wndow Help 


和 WH 同 全 “名 全 履 | 古 了 回 归 | 中 回 圈 | 仿 全 
Se 其 


oT TL: 
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OT TT 


广 作 四 诊 量 外 工具 中 和 四 


| | 


当前 四 拉 ;| 上 | 这 所 码 | ] CW] 
Bosal | Battsm [9 Wri: piggg | [mm 
Tm E 有 枯 | 而 5 生 
Ei 和 
自动 上 村 主机 Ew EC IES 
条件 了 ec 
了 


| | 天 四 。 | 邮 rae Cr 和 
To direct input to this VM, move the mouse pointer incide or prese ca-G Cl | 
全 图 2-144 ”运行 灰 钨 子 木马 程序 全 图 2-145 “服务 器 配置 ”对 话 框 


(3) 如 图 2-146 所 示 ， 在 “安装 选项 ”选项 卡 中 ， 选 中 “安装 成 功 后 自动 删除 安装 文件 ” 
复 选 框 。 木 马 程序 一 般 都 是 在 后 台 偷 偷 运 行 的 ， 取 消 选 中 “程序 安装 成 功 后 提示 安 
装 成 功 ” 和 “程序 运行 时 在 任务 栏 显示 图 标 ” 复 选 框 。 

(4) 如 图 2-147 所 示 ， 在 “启动 设置 ”选项 卡 中 ， 选 中 “Win2000/XP 下 优先 安装 成 服 
务 启动 ” 复 选 框 ， 然 后 单 击 “ 生 成 服务 器 ”按钮 ， 这 样 就 制作 好 了 木马 程序 。 


81 


莫 基 
计算 机 网 络 (修订 版 ) 


Fie ER View VM Team Windows Help 


一 一 吾 状 全 | 加 可 下 局 | 口 四 较 岛 全 


EFle Edt View VM Team Windows Help 
eA eT: Ts EE 
EECEEE3 


FIRST 


ES | 汪 大 | 岳 放 芭 汪 


| 


商品 |Ommen | | | 日 | 已 [rr EE 
To dect input to th VM move the ouse pointer inside or press Cul-G PO BI 


全 图 2-146 “安装 选项 ”选项 卡 全 图 2-147 “服务 器 配置 ”对 话 框 
(5) 如 图 2-148 所 示 ， 可 以 看 到 生成 的 木马 程序 “Server.exe”。 
(6) 如 图 2-149 所 示 ， 将 有 木马 程序 的 文件 夹 共享 。 以 方便 Server 访问 ,模拟 中 木马 的 


TREE 
Fie bl Ve WwW Te Windo Hep 


人 “可 全 仿古 加 加 昌 | 中 回 圈 | 坊 包 


File Ed View WM Team Window Help 


WS 名 全 信 | 四 回回 白 | 吕 加 图 秽 人 


on5-10-13 9 


芭 


ET 
To direct input to this VM, move the mouse poineer incide or prese Cul+G. 加 | | To direc input to thie YM, move the mouce pointer incide or press Cul+G. 回国 图 记 国 - 
全 图 2-148 生成 的 木马 程序 全 图 2-149 共享 存放 木马 的 文件 夹 


2. 中 木马 的 过 程 

(1) 如 图 2-150 所 示 ， 在 Server 上 上， 打开“ 本 地 连接 属性 ”对 话 框 ， 单 击 “ 设 置 ” 按 
钮 ， 在 出 现 的 “Windows 防火 墙 ” 提示 对 话 框 中 ， 单 击 “ 是 ”按钮 ， 启 用 Windows 
防火 墙 服务 。 

(2) 如 图 2-151 所 示 ， 在 出 现 的 “Windows 防火 墙 ” 对 话 框 的 “常规 ”选项 卡 中 ， 选 中 
“启用 ” 单 选 按钮 和 “不 允许 例外 ” 复 选 框 。 
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Fle Edit Vien VM Team Windows Help Fle Ed Viex YM Team Windows Help 
和 用 加 罗 如 从业 固守 加 器 | 品 回 图 :本 Ee 到 靖 呈 本 吾 国富 | 口中 图 SS 


=e 


有 天 司 息 ,请 清 问 旦 srezeft 问 站 。 


Ce ww | 
志和 CL. ME 区 二 届 必 5 | PE TT 


To drect input to this VM, move the mouce pointer iniide or prect Cl+G.  @ 名 网 于 | 国 . pointerindide or preee Ctl+6、 回回 硬 沁 | 回 
全 图 2-150 “本 地 连接 属性 ”对 话 框 从 图 2-151 “Windows 防火 墙 ” 对 话 框 
(3) 如 图 2-152 所 示 ， 可 以 看 到 本 地 连接 启用 了 Windows 防火 墙 的 图 标 ， 加 了 一 把 锁 。 
(4) 如 图 2-153 所 示 ， 在 Server 上 访问 入 侵 者 的 共享 文件 夹 ， 将 木马 程序 拷贝 到 桌面 ， 
双击 ， 安 装 木 马 程序 。 


File Edt View VM Team Windows Help Fle Edt View Team Windows Help 
四 昌国 轨 | 和 两 防 因 固 回 上 | 回 是 前 [ 国 罗 “3 仙 注 轩 问 回归 | 回 回 图 % 
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文件 吧 钢 名 中 查看 WW 收藏 全。 工具 GD) 二 中 和 区 0 
四 搜索 门 文件 天 | 褒 方 X 加 | 可 - 


启用 了 Windows 防 
火 墙 的 本 地 连接 图 标 


新 于 和 接 向 导 


ESEEES 


To direct input to this VM, move the mouse pointer inside or pre 加 @ 加 | 国 /| | Te tirectinpest to tis vM move the mouss pointer incide or press Ctrl+G. PPL EN 
A 图 2-152 启用 Windows 防火 墙 全 图 2-153 将 木马 拷贝 到 本 地 并 安装 
3. 远程 监控 和 控制 
(1) 如 图 2-154 所 示 ， 在 入 侵 者 计算 机 上 ， 可 以 看 到 中 了 木马 的 计算 机 自动 上 线 ， 选 中 
上 线 的 服务 器 ， 单 击 “ 捕 获 屏幕 ”按钮 。 可 以 远程 监控 Server 桌面 。 
(2) 如 图 2-155 所 示 ， 单 击 图 中 框 起 的 鼠标 和 键盘 图 标 ， 还 可 以 控制 远程 计算 机 。 
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者 列 表妹 完 和 -更 在 可 以 对 让 机 浊 行 运 各 可 抽 7，23.05 16 = 


全 图 2-154 捕获 屏幕 


全 图 2-155 远程 控制 


(3) 如 图 2-156 所 示 ， 在 Server 上 的 命令 提示 符 下 输入 netstat -n， 可 以 看 到 木马 建立 


(4) 如 图 2-157 所 示 , 在 Server 上 , 运行 msconfig， 打 开 “ 系 统 配置 实用 程序 ”对 话 框 ， 
选中 “隐藏 所 有 Microsoft 服务 ” 复 选 框 ， 可 以 看 到 灰 钢 子 木马 安装 的 服务 。 
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HU fsconfie | 
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全 图 2-156 灰 忽 子 建立 的 会 话 
4. 配置 IPSec 保护 Web 服务 器 
(1) 如 图 2-158 所 示 ， 在 Server 上 禁用 Windows 防火 墙 。 现 在 使 用 IPSec 严格 控制 出 


入 流量 。 


ET Ey 


To direct mput to hs VM move the mouse pointer nside or press Cul+G. 


全 图 2-157 安装 的 灰 鸟 子 木马 


EE 


(2) 如 图 2-159 所 示 ， 选 择 “ 开 始 ” 一 “程序 ”一 “管理 工具 ”一 “本 地 安全 策略 ” 


命令 。 
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Fle Edt View VM Team Windows Help Fy BR Vom VM Tow Wacom oly, 
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Ei WE TW HC EO 3 2 DB WS BEL TE 
To direct input to this VM, move the mours poirter incide or press Cul+G. PIT EN] To direct input to this VM, move the mours pointer indide cr press Cul+G, CIOL ER 

全 图 2-158 关闭 Windows 防火 墙 全 图 2-159 选择 “本 地 安全 策略 ”命令 
(3) 如 图 2-160 所 示 ， 在 打开 的 “本 地 安全 设置 ”窗口 中 ， 右 击 “IP 安全 策略 ， 在 本 地 


计算 机 ”节点 ， 在 弹出 的 快捷 菜单 中 选择 “创建 IP 安全 策略 ”命令 。 

(4) 在 出 现 的 “欢迎 使 用 人 P 安全 策略 向 导 ” 对 话 框 中 ， 单 击 “ 下 一 步 ” 按 钮 。 

(5) 如 图 2-161 所 示 , 在 出 现 的 “IP 安全 策略 名 称 ” 设 置 界 面 中 , 输入 名 称 和 描述 信息 ， 
单 击 “ 下 一 步 ”按钮 。 


Re Ec View VM Team Windows Help 


日语 如 总 可 于 自 回电 | 可 昌国 | 耳 必 
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To direct input to this VM, move the mouse poirtar inaide or press Cvl-G、 四 @ 风 加 辐 2 
全 图 2-160 “本 地 安全 设置 ”窗口 人 图 2-161 “IP 安全 策略 名 称 ” 设 置 界面 
(6) 如 图 2-162 所 示 ， 在 出 现 的 “安全 通讯 请 求 ”设置 界面 中 ， 取 消 选中 “激活 默认 响 
应 规则 ” 复 选 框 ， 单 击 “ 下 一 步 ” 按 钮 。 


(7) 如 图 2-163 所 示 ， 在 出 现 的 “正在 完成 人 P 安全 策略 向 导 ” 设 置 界面 中 ， 单 击 “ 完 
成 ”按钮 。 
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To direct input to this VM, move the mouse pointer naide or Pre Cul-G, 回国 吕 峡 2 
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全 图 2-162 “安全 通讯 请 求 ”设置 界面 A 图 2-163 “正在 完成 IP 安全 策略 向 导 ” 设 置 界面 

(8) 如 图 2-164 所 示 , 在 出 现 的 “WebServerIPSec 属性 ”对 话 框 中 , 取消 选中 “使 用 “ 添 
加 向 导 ”” 复 选 框 ， 单 击 “ 添 加 ”按钮 。 

(9) 如 图 2-165 所 示 ， 在 出 现 的 “新 规则 属性 ”对 话 框 中 ， 选 中 “所 有 卫 通讯 ” 单 选 
按钮 ， 单 击 “筛选 器 操作 ”标签 


Fle Edit View VM Team Windows Hep 
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To direct input to this VM move the mouse pointer nside or press Cul*G. 回回 田 加 年 Z| | To direct inputto this VM, move the mouse pointar ncide or press Cl:G. 回国 二 己 | 

人 A 图 2-164 “WebServerIPSec 属性 ”对 话 框 全 图 2-165 “新 规则 属性 ”对 话 框 

(10) 如 图 2-166 所 示 ， 在 “筛选 器 操作 ”选项 卡 中 ， 没 有 拒绝 的 动作 ， 取 消 选中 “使 
用 “添加 向 导 ”” 复 选 框 ， 单 击 “ 添 加 ”按钮 。 

(11) 如 图 2-167 所 示 ， 在 出 现 的 “新 筛选 器 操作 属性 ”对 话 框 的 “安全 措施 ”选项 卡 
中 ， 选 中 “阻止 ” 单 选 按钮 ， 单 击 “ 常 规 ” 标 签 。 
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从 图 2-166 添加 位 先 器 的 操作 
(12) 如 图 2-168 所 示 ， 在 “常规 ”选项 卡 中 ， 输 入 名 称 ， 单 击 “ 确 定 ” 按 钮 。 


(13) 如 图 2-169 所 示 , 在 “新 规则 属性 对话 框 中 , 选择 刚刚 创建 的 操作 “拒绝 通信 ”， 
单 击 “ 应 用 ”按钮 。 
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全 图 2-167 选择 阻止 


Fle Ed View VM Team Windowe Help 


晶 四 [因由 名 二 代 同 六 日 吕 癌 回 加 区 必 


一 -一 闻名 列表 第 和 器 汪 作 | 生 维 验 玫 广 法拉 才 设置 | 这 按 2 开 | 


|| 血 | | 看 号 


Te direct input to this VM, move the mouse pointer ncide or Prass Cn:G 


上 | 加 CWiNorsvsystm3 站 态 下 Ha 全 上 得 国 曙 委 吏 3 


搂 受 不 安全 的 通讯 ， 人 种 诸 求 
授 芝 不 全 全 的 者 讯 ， 但 总 是 潮 
化 许 下 安全 的 IT 数据 包 经 过 。 


Im BD Jmevmeme J 


EEL Ba 


全 图 2-168 指定 操作 名 称 


(14) 如 图 2-170 所 示 ， 单 击 “ 确 定 ” 按 钮 


To direct input to this VM, move the mouse Poiter ncide or press Cul+G， 口 吕 南口 | 国志 


全 图 2-169 选择 操作 


(15) 如 图 2-171 所 示 ， 这 样 就 添加 了 拒绝 所 有 通信 ， 相 当 于 拔 了 网 线 。 然 后 添加 规则 


允许 访问 Web 站 点 的 流量 出 入 。 


87 


英 基 
| 


88 


计算 机 网 络 (修订 版 ) 


Fle Ele View VM Team Windows Help 本 
a 同人 @ | 多 厂 玉 | 加 可 回避 | 吕 加 图 | 鲁 耐 


:Fle Ede View VM Teom Wndore Hep 


国 S | ee 厨 芒 加 安 | 回 


FE CT 


kame 加 吉 列 ”第 过 坟 作 | 身 当 关 让 力 法 | 区 六 庄 型 | 
yy 

EE 
昌 苹 帐 PA 
由 国 本 tb 
用 -名 公司 9 
由 国 软件 用 
晶 正安 


i 
十 加 凤 .。 | 加 得 四 | _ 贡 队 加 | 厂 使用 “和 加 癌 导 ”0D ul 
SE | Mim | BH ms" 

王 we 王 | jw 
更 1 拓 | | 启 加 。 | 国 czmoptasteo .|[ 俯 R28 ”| 同 明和 加 5 


To dredt opet to th YM, more the mewse Poirter moe or prem Cu 6 加 加 网 避 | 


| | BO cw i 


To direct input to this VM move the mouse pointer insidi cr6，。 号 加 而 到 加 
全 图 2-170 完成 添加 规则 全 图 2-171 添加 允许 访问 Web 服务 的 规则 
(16) 如 图 2-172 所 示 ， 在 “新 规则 属性 ”对 话 框 中 ， 单 击 “ 添 加 ”按钮 。 
(17) 如 图 2-173 所 示 ， 在 出 现 的 “IP 筛选 器 列表 ”对 话 框 中 ， 输 入 规则 名 称 ， 取 消 选 
中 “使 用 添加 向 导 ” 复 选 框 ， 单 击 “ 添 加 ”按钮 。 
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全 图 2-172 添加 筛选 器 列表 全 图 2-173 添加 筛选 器 
(18) 如 图 2-174 所 示 ， 在 出 现 的 “IP 筛选 器 属性 ”对 话 框 中 ， 可 以 看 到 源 地 址 和 目 
标 地 址 ， 一 定 要 选中 “镜像 ， 与 源 地 址 和 目标 地 址 正好 相反 的 数据 包 相 匹配 ” 
(19) 如 图 2-175 所 示 ， 在 “协议 ”选项 卡 中 ， 协 议 选择 TCP，“ 设 置 卫 协议 端口 ” 选 
项 组 中 ， 选 中 “从 此 端口 ”和 “到 任意 端口 ” 单 选 按钮 ， 单 击 “ 确 定 ” 按 钮 。 
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”按钮 。 当 然 ， 如 果 还 希望 别人 访问 FTP 站 点 ， 你 


还 可 以 继续 单 击 “ 添 加 ”按钮 ， 添 加 相应 的 筛选 器 。 筛 选 器 列表 中 可 以 包括 多 个 


筛选 器 。 


(21) 如 图 2-177 所 示 ， 在 “新 规则 属性 ”对 话 框 中 ， 选 中 “允许 访问 Web 服务 ” 单 


选 按钮 ， 单 
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全 图 2-176 完成 第 选 器 列表 


(22) 如 图 2-178 所 示 ， 在 “筛选 器 操作 ”选项 卡 中 ， 选 中 “许可 ” 单 选 按钮 


用 ”按钮 。 


To direct input to this VM, move the meuse pointer indide or press Cl 


， 国 避 央 男 | 加 者 
全 图 2-177 选择 筛选 器 规则 
， 单 击 “ 应 


(23) 如 图 2-179 所 示 ， 单 击 “ 确 定 ” 按 钮 。 
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全 图 2-178 “筛选 器 操作 ”选项 卡 全 图 2-179 单 击 “ 确 定 ”按钮 
(24) 如 图 2-180 所 示 ， 到 目前 为 止 已 经 创建 了 两 个 规则 ， 一 个 是 拒绝 所 有 通信 ， 一 个 
是 允许 访问 Web 服务 器 的 流量 ， 多 个 规则 以 最 佳 匹配 为 准 。 也 就 意味 着 不 是 访问 
Web 站 点 的 流量 就 应 用 所 有 人 P 通信 的 规则 。 
(25) 如 图 2-181 所 示 ， 右 击 刚才 创建 的 WebServerIPSec 策略 ， 在 弹出 的 快捷 菜单 中 选 
择 “ 指 派 ”命令 ， 该 策略 生效 。 
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ET 
全 图 2-180 创建 的 两 个 规则 全 图 2-181 指派 IP 策略 
(26) 如 图 2-182 所 示 , 在 Server 上 运行 netstat -n 命令 ， 可 以 看 到 木马 程序 不 能 和 入 侵 
者 的 计算 机 建立 会 话 ， 这 样 木马 就 成 了 “ 卧 槽 马 ”， 不 会 为 你 的 Server 造成 多 大 
(27) 如 图 2-182 所 示 ，ping 入 侵 者 的 卫 地 址 ， 出 现 Destination host unreachable。 因 为 
IPSec 没有 允许 此 类 通信 出 入 。 
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(28) 如 图 2-183 所 示 ， 在 入 侵 者 计算 机 上 ， 你 也 看 不 到 自动 上 线 的 主机 ， 就 没 办 法 监 
控 和 控制 中 了 木马 的 服务 器 。 
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pestination host unreachabhle。 。 器 ,因此 显示 目标 主机 不 可 到 达 。 


Destination host unreachable. 


ping statistics for 192.168.1.121: 
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A 图 2-182 查看 会 话 测试 网 络 全 图 2-183 灰 鸟 子 不 能 上 线 了 
(29) 如 图 2-184 所 示 ， 可 以 看 到 , 在 

入 侵 者 计算 机 访问 Server 的 web 。 ee 

站 点 还 是 可 以 的 。 
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Windows 防火 墙 能 够 禁止 
主动 入 侵 ， 但 是 对 木马 没 
有 防护 作用 。Windows 的 
TCP/IP 第 选 和 Windows 防 


新 闻 网 页 贴吧 知 送 MP3 图 片 视频 地 图 


火 墙 类 似 ， 能 够 禁止 主动 
入 侵 ， 但 是 对 木马 没有 防 
护 作用 。 要 想 使 用 严格 控 
制 出 入 服务 器 的 流量 策 
略 ， 可 以 使 用 IPSec 实现 。 
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全 图 2-184 能 够 访问 Web 站 点 


臣 玉 对 网络 层 协议 


在 TCP/IP 协议 栈 中 网 络 层 有 四 个 协议 全、IGMP、ICMP 和 ARP 协议 。 
在 下 面 的 小 节 中 ， 我 们 将 描述 在 因特网 层 上 的 协议 : 

" ”因特网 协议 (IP) 

" ”因特网 控制 报 文 协议 (ICMP) 

"地址 解析 协议 (ARP) 


=" 道 向 地 址 解析 协议 (RARP) 
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=" ”代理 ARP 
下 面 逐 一 介绍 各 个 协议 的 功能 。 


2.6.1 IP 协议 


Router1 转 发 到 Router2 的 数据 帧 


接 进行 通信 而 设计 的 协议 。 在 因特网 中 , 它 是 能 使 连接 到 网 上 的 所 有 计算 机 网 络 实现 相互 通 
因特网 协议 (IP) 其 实质 就 是 因特网 层 ,如 图 2-185 IP 协 议 两 个 层面 意思 

划 网 络 层 地 址 , 即 人 P 地 址 。 卫 关注 每 个 数据 包 的 地 址 ， 

路 由 协议 (RIP、EIGRP 和 OSPF 协议 都 是 他 协议 )。 二 因 23185、 闻 物 议 内 泛 
如 图 2-186 所 示 , 网 络 为 三 个 网 pa 2 

址 为 10.0.0.2, 网 关 为 10.0.0.1, 路 由 

备 和 计算 机 设备 的 MAC 地 址 和 下 

机 B 通信 的 过 程 。 Router2 发 送 到 计算 机 6 的 数据 本 


1. IP 协议 
IP 是 英文 Internet Protocol (网 络 之 间 互 联 的 协议 ) 的 缩写 ， 也 就 是 为 计算 机 网 络 相互 连 
信 的 一 套 规则 ,规定 了 计算 机 在 因特网 上 进行 通信 时 应 当 遵 守 的 规则 。 任何 厂家 生产 的 计算 
机 系统 ， 只 要 遵守 IP 协议 就 可 以 与 因特网 互 连 互通 。 
所 示 。 其 他 的 协议 仅仅 是 建立 在 其 基础 之 上 用 于 支持 
卫 协议 的 。 相 互通 信 的 计算 机 和 网 络 设备 必须 统一 规 IP 地 址 整体 规划 | 
网 络 层 设备 通过 使 用 路 由 表 ，IP 可 以 决定 一 个 数据 包 基于 数据 包 的 目标 |P 地 址 选择 最 佳 转发 路 径 | 
将 发 送 给 哪 一 个 被 选择 好 的 后 续 最 佳 路 径 ， 那 些 动态 
处 于 DoD 模型 底部 的 网 络 接口 层 协议 不 会 关心 PP 在 整个 网 络 上 的 工作 ， 它 们 只 处 理 ( 本 地 
网 络 的 ) 物理 链接 。 
M2 
段 10.0.0.0/8、11.0.0.0/8 和 12.0.0.0/8， 
计算 机 A 的 MAC 地 址 为 Ml, IP 地 a A 
器 Routerl 连接 交换 机 SW1 的 接口 
的 MAC 地 址 为 M2， 其 他 路 由 器 设 
地 址 如 图 2-186 所 示 。 
下 面 介绍 一 下 计算 机 A 和 计算 Ri ros Hria002 eI 2 
(1) A 计算 机 首先 判断 B 计算 [和 Pda HI 
机 的 下 地 址 和 自己 的 下 地 


1 交换 机 基于 数据 秆 的 MAC 地 址 转发 数据 帧 ， 路 由 器 基于 数据 包 的 IP 地 址 转发 数据 包 


址 是 否 在 一 个 网 段 , 即 网 络 2 数据 包 在 传输 过 程 不 变 ,过 网 络 设备 数据 导 要 用 新 的 物理 层 地 址 重新 寺 半 

部 分 是 否 相同 。 如果 发 现 不 3.MAC 地 址 决定 了 数据 镇 下 一 跌 究 个 设备 接收 ， 而 IP 地 址 天 定 了 数据 包 的 起 点 和 终点 
在 一 个 网 段 , 数据 包 应 该 发 A 图 2-186 数据 转发 的 过 程 
送 给 路 由 器 Router 1， 再 由 

路 由 器 Router 1 转发 。 


(2) 计算 机 A 配置 了 网 关 10.0.0.1，A 计算 机 发 出 去 的 数据 帧 源 下 地 址 为 10.0.0.2， 目 
标 卫 地 址 为 12.0.0.2; 源 MAC 地 址 为 M1， 目 标 MAC 地 址 为 M2。 这 样 ， 交 换 机 
SW1 将 会 根据 MAC 地 址 表 将 数据 帧 转发 到 路 由 器 Router 1 的 接口 。 
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路 由 器 Router 1 查看 数据 包 的 目标 IP 地 址 ， 根 据 路 由 表 ， 决 定数 据 包 下 一 跳 应 该 
发 往 何 处 .本 示例 Router 1 将 数据 包 转 发 到 Router 2.Router 1 将 数据 帧 的 目标 MAC 
地 址 更 改 为 M4， 源 MAC 地 址 更 改 为 M3， 这 样 ，Router 2 就 能 接收 该 数据 帧 。 

(3) 同样 ， 路 由 器 Router 2 接收 到 数据 帧 后 ， 查 看 数据 包 的 目标 人 P 地 址 ， 根 据 路 由 表 
转发 ， 数 据 帧 的 源 MAC 地 址 更 改 为 M5， 目标 MAC 地 址 更 改 为 M6。 这 样 数据 帧 
就 能 够 被 交换 机 SW2 转发 到 计算 机 B。 


2. 数据 包 的 传输 过 程 


总 结 图 2-184 中 计算 机 A 
和 计算 机 B 的 通信 过 程 ， 如 图 
2-187 所 示 。 计 算 机 A 在 和 计 
算 机 B 通信 的 过 程 中 ，A 计算 
IP 地 址 和 目标 他 地 址 ;然后 为 
数据 包 在 数据 链 路 层 添加 源 
MAC 地 址 和 目标 MAC 地 址 。 
在 传输 过 程 中 需要 通过 交换 机 
和 路 由 器 这 样 的 设备 ， 交 换 机 
基于 目标 MAC 地 址 转发 数据 
帧 ， 工 作 在 数据 链 路 层 ， 路 由 
器 基于 目标 IP 地 址 转发 数据 
包 ， 工 作 在 网 络 层 。 计 算 机 B 


数据 传输 过 程 


蕊 B 
Sw1 Router1 Router2 SW2 
二 层 设备 。 网 络 层 设备 网 络 层 设备 ”二 层 设备 


全 图 2-187 数据 传输 过 程 对 应 的 0SI 参考 模型 中 的 层 


接收 到 数据 帧 后 ， 在 数据 链 路 层 去 掉 MAC 地 址 ， 在 网 络 层 去 掉 瑟 地址 ， 一 直到 应 用 层 。 


3. IP 数据 包 的 格式 


一 个 下 数据 包 由 首部 和 数 
据 两 部 分 组 成 。 

如 图 2-188 所 示 ， 首 部 的 前 
一 部 分 是 固定 长 度 ， 共 20 字 节 ， 
是 所 有 卫 数据 包 必须 具有 的 。 

在 首部 固定 部 分 的 后 面 是 
一 些 可 选 字段 ， 其 长 度 是 可 变 
的 。 

构成 他 包头 的 字段 如 下 。 

县 版 本 : 卫 版 本 号 。 

" ”首部 长 度 : 32 位 字 的 

包头 长 度 (HLEN) 。 
= ”区 分 服务 : 服务 类 型 描 


A 图 2-188 ”IP 数据 包 格 式 


述 数 据 包 将 如 何 被 处 理 。 前 3 位 表示 优先 级 位 。 
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= ”总 长 度 : 包括 包头 和 数据 的 数据 包 长 度 。 
" ”标识 : 唯一 的 他 数据 包 值 。 
" ”标志 : 说 明 是 否 有 数据 被 分 段 。 
" ” 片 偏 移 : 如 果 数 据 包 在 装 入 帧 时 太 大 ， 则 需要 进行 分 段 和 重组 。 分 段 功能 允许 在 因 
特 网 上 存在 大 小 不 同 的 最 大 传输 单元 (MUT) 。 
" ”生存 时 间 (TITL) : 存活 期 是 在 数据 包产 生 时 建立 在 其 内 部 的 一 个 设置 。 如 果 这 个 
数据 包 在 该 TTL 到 期 时 仍 没 有 到 达 它 要 去 的 目的 地 ， 那 么 它 将 被 丢弃 。 这 个 设置 
将 防止 瑟 包 在 寻找 目的 地 的 时 候 在 网 络 中 不 断 循环 。 
= 协议: 上 层 协议 的 端口 CTCP 是 端口 6，UDP 是 端口 17〈 十 六 进 制 地 址 ) ) 。 同 
样 也 支持 网 络 层 协议 ， 如 ARP 和 ICMP。 在 某 些 分 析 器 中 被 称 为 类 型 字段 。 
" ”包头 校 验 和 : 只 针对 包头 的 循环 元 余 校 验 (CRC) 。 
" 源 他 地 址 : 发 送 站 的 32 位 TP 地 址 。 
" ”目的 下 地 址 ， 数据 包 目 的 方 站 点 的 32 位 下 地 址 。 
" ”选项 ， 用 于 网 络 检测 、 调 试 、 安 全 以 及 更 多 的 内 容 。 
" ”数据 : 在 他 选项 字段 后 面 的 就 是 上 层 数据 。 
类 型 字段 是 很 重要 的 ， 它 实际 上 是 一 个 协议 字段 ， 在 这 里 ， 分 析 仪 将 它 视 为 卫 类 型 字 
段 。 如 果 在 数据 包 的 包头 中 没有 为 下 一 层 载 有 这 个 协议 信息 , IP 将 不 知道 在 本 数据 包 中 被 装 
载 的 数据 是 用 来 做 什么 的 。 
如 图 2-189 所 示 ， 展 示 了 网 络 层 协议 和 传输 层 协议 的 
关系 ， 即 网 络 层 协 议 + 协议 号 标识 传输 层 协 议 ， 如 表 2-1 传输 层 
所 示 。 
在 这 个 示例 中 ， 协 议 字段 的 内 容 告 诉 IP 将 此 数据 发 
送 给 TCP 的 端口 6 或 UDP 的 端口 17 (两 个 都 是 十 六 进 制 
地 址 )。 但 是 ， 如 果 数 据 是 一 个 前 往 上 层 服 务 或 应 用 程序 “全 图 2-189 网 络 层 和 传输 层 的 关系 
数据 流 中 的 一 部 分 ， 则 这 个 数据 就 只 是 一 个 UDP 或 TCP 
段 。 这 个 数据 也 可 以 简单 地 被 指定 为 因特网 控制 报 文 协议 (ICMP)、 地 址 解析 协议 (ARP)， 
或 一 些 其 他 类 型 的 网 络 层 协议 。 


网 络 层 


表 2-1 协议 和 协议 号 


协议 协议 号 
ICMP 和 
IGMP 2 
IPinIP (隧道 ) 4 
EIGRP 88 
OSPF 89 
TIPv6 41 
L2TP 115 


2.6.2 ICMP 协议 


ICMP (Internet Control Message Protocol) 是 Intemet 控制 报 文 协 议 。 它 是 TCP/IP 协议 
族 的 一 个 子 协议 ， 用 于 在 P 主机 和 路 由 器 之 间 传 递 控制 消息 。 控 制 消息 是 指 网 络 通 不 通 、 
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主机 是 否 可 达 、 路 由 是 否 可 用 网 络 本 身 的 消息 。 当 遇 到 IP 数据 无 法 访问 目标 、IP 路 由 器 无 
法 按 当 前 的 传输 速率 转发 数据 包 等 情况 时 ， 会 自动 返回 相应 的 ICMP 消息 。 

在 计算 机 上 检测 网 络 层 故 障 经 常用 到 的 ping 和 pathping 命令 就 是 使 用 ICMP 协议 。 下 
面 介绍 ping 和 pathping 的 使 用 。 

1.ping 命令 诊断 网 络 故障 


ping (Packet Internet Grope)， 因 特 网 包 探 索 器 ， 用 于 测试 网 络 连接 量 的 程序 。ping 发 送 
一 个 ICMP 回声 请 求 消息 给 目的 地 并 报告 是 否 收 到 所 希望 的 ICMP 回声 应 答 。 

ping 指 的 是 端 对 端 连 通 , 通常 用 来 作为 可 用 性 的 检查 , 但 是 某 些 病毒 木马 会 强行 大 量 远 
程 执行 ping 命令 抢占 你 的 网 络 资源 ， 导 致 系统 和 网 速 变 慢 。 严禁 ping 入 侵 作 为 大 多 数 防火 
墙 的 一 个 基本 功能 给 用 户 提 供 选择 。 

如 果 你 打开 正 浏览 器 访问 网 站 失败 ， 你 可 以 通过 ping 命令 测试 到 Internet 的 网 络 连通 ， 
可 以 为 你 排除 网 络 故障 提供 线索 。 下 面 展示 ping 命令 返回 的 信息 以 及 其 原因 分 析 。 

1) 目标 主机 不 可 到 达 

如 图 2-190 所 示 ， 不 设置 计算 机 的 网 关 。 

如 图 2-191 所 示 ，ping 其 他 网 段 的 地 址 ， 会 出 现 “Destination host unreachable” 提 示 ， 
也 就 是 计算 机 不 知道 到 该 地 址 下 一 跳 转 发 给 谁 。 

月 站 se - Wware Werkstation Ele 


Fle Edt View VM Team Windows Help Bh Edt Yow YM Tabe Hop 


和 WW 全 六 靖 下 固 下 如 吕 | 吕 回 圈 | 名作 


可 
dl = 0, Lost = 4 《18Bx loss)， 


:\Docunents and Sottings\AdninistratorYping 292.99.168.68 Ll 
inging 282.99.168.68 vith 32 bytes of data: | 
hotinat lon boot unraachal 目标 主机 不 可 到 达 
Destination host unreachable. 
tination host unreachahle. 
stination host unreachable. 


ing statistics for 282.99.169.68: 
Packets: Sent = 4, Received = 8, Lost = 4 《18Bx loss)， 


人 借用 下 IS 最 结果 地 二 
第 渤 PE 最 和 器 吕 : 


SNDocunents and Settings\Adninistrator> 


各 用 TIE 时务 器 : 


| 得 #M| | 大 四 。 | 业 不 地 本 反攻 [EEC 


To direct input 10 this VM, move the mouce pointer incide or prece CtG. 0 国 EE J evnoorssrtm... ETSEZ3 


全 图 2-190 去 掉 网 关 全 图 2-191 目标 主机 不 可 到 达 
如 图 2-192 所 示 ， 为 计算 机 配置 网 关 。 如 果 路 由 器 没有 到 目标 网 段 的 路 由 ， 也 就 是 路 由 
器 不 知道 数据 包 的 目标 地 址 如 何 转发 ， 
如 图 2-193 所 示 ， 就 会 从 网 关 返 回 “Destination net unreachable”( 目 标 网 络 不 可 到 达 ) 
的 信息 。 
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Fe Edt View WH Team Windows Help 


sn 人 二 人 回回 回 占 | 器 图 种 久 


dt Ye VM Tabe Hep 


=VDocunents and Settings\han)ping 282.99.168.68 


inging 282.93.169-68 vith 32 hytes of data; 


:pocunents and sertinsswany 
:Docunents and Settings\han) 


TEFS 本 


pomm mi prm CvhG。 局 @ 二 到 | 而 


从 图 2-192 添加 网 关 全 图 2-193 路 由 器 返回 目标 主机 不 可 到 达 
) 请 求 超时 


如 图 2-194 所 示 ，Server 计算 机 上 ping 10.7.1.50， 返 回 “Request timed out” 提 示 。 以 下 
儿 种 情况 均 会 出 现 这 种 信息 。 


对 方 计算 机 关机 或 目标 计算 机 也 地 址 不 存在 。 

对 方 计算 机 启用 了 Windows 防火 墙 或 其 他 防火 墙 。 
数据 包 到 达 目 的 地 ， 但 是 返回 时 失败 。 

网 络 堵塞 。 

沿途 路 由 器 禁止 了 ICMP 数据 包 通 过 。 


如 图 2-194 所 示 ，ping 192.168.1.121 -t ， 第 一 个 通 ， 且 延迟 lms， 后 面 出 现 3 个 请 求 超 
时 ， 出 现 一 个 通 、 又 出 现 一 个 请 求 超时 ， 这 类 故障 不 是 网 络 拥塞 ， 而 是 到 192.168.1.121 这 
个 地 址 有 多 个 路 径 ， 有 些 路 径 不 通 ， 是 路 由 器 上 路 由 表 引 起 的 问题 。 

如 图 2-195 所 示 ，ping 192.168.1.222 -t， 出 现时 通 时 断 现象 。 其 中 time 是 延迟 ， 接 近 2 


秒 ， 延 迟 很 大 ， 网 络 拥塞 时 会 出 现 这 种 情况 


| 


ing scarietie 


:speeunenre aa 


pinging 192.168.1.121 with 32 pytas of 


only tron 42.168-4-t84: bwtera "28 通 ， 延 迟 很 


| | [ee 


Fle Edt View VM Team Windowe Hep PP 


UDPTDOE ET 天 一 一 一 一 一 一 一 一 一 一 一 一 | 


inging 192.168.1.222 with 32 hytes of data: 加 


-1-121: bytea-32 tine-1936ns TTL-128 


Pachet: 


tes-32 time=1953ns TTL=128 


ettinge an ping 192.168.1.121 -+ 


请 求 超时 ， 
有 规律 。 


-1-121: bytes-32 tine-1933ms TTL-128 


网 络 时 通 时 汤 ， 延 迟 接近 2 秒 ， 典 型 的 网 络 捧 硅 
低 。 则 说 明 
不 是 网 络 拥 
塞 ， 是 路 由 
问题 引起 的 
网 络 故障 - uest tined out- 

] | ] 


-1-121: hytes=32 tine=1938ns TTL=128 


下 


we 和 网 


全 图 2-194 请 求 超时 全 图 2-195 ”网络 拥塞 
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3) 通过 延迟 评估 网 络 带 宽 

在 Server 计算 机 上 ping Client 计算 机 的 下 地 址 , 在 命令 提示 符 下 输入 ping 192.168.1.63 
-t , (其中, -t 参数 是 一 直 ping, 否则 ping 4 个 数据 包 就 停止 了 )。 按 CtrltC 组 合 键 结束 ping。 

如 图 2-196 所 示 ，10M 以 太 网 和 100M 以 太 网 网 速 很 快 ， 延迟 在 1ms 左右 。 如 果 大 于 这 
个 值 ， 则 局 域 网 有 可 能 有 点 堵 。 

如 图 2-197 所 示 ，ping www.inhe.net， 可 以 看 到 最 大 延迟 、 最 小 延迟 以 及 平均 延迟 都 比 
局 域 网 大 得 多 。 如 果 你 访问 国外 的 一 些 网 站 ， 延 迟 一 坡 全 化 国内 的 网 芭 大 。 


Vew VWM Iabs Help 


Ele Edit 


:ping 192.168.1.63 :syping wwu.inhe.net 


i inging wuu.inhe .net [221-192-155-193] with 32 hytes of data: 


Reply from 192.168， tes=32 tineCins TIL=128 到 
Reply from 192.168， tes=32 tineCins TIL=128 
Reply from 192.168.1. ytes-32 tineCins TTL-128 
Reply from 192.168.1.63: bytes=32 tine<ins TIL-128 


lping statistics for 192.168.1.63: 


ing statistics for 221.192.155.193: 
Packets: Sent = 4。 Received = 4, 中 st - 8 C8x 1l0ss), 
让 : Packets: Sent = 4。 Received = 4。 Lost = 8 (Gx loss), 
i et 
ee 和 Mininun = i91ms, Naxinun ~ 193ms, Average = 192ns 


:> 局 域 网 通信 延迟 一 般 在 1ms 左 右 


a 1 加 三 
[IE EEC 


A 图 2-196 ping 192.168.1.63 ~t 
2. pathping 跟踪 数据 包 的 路 径 
使 用 ping 能 够 判断 网 络 通 还 是 


et.edu2act.org [18.7.1.38] 


不 通 ， 比 如 请 求 超时 ， 但 不 能 判断 。 | 后 地 ?3 。| 话 路 由 器 转 发 天 包 率 
是 哪个 位 置 出 现 的 网 络 故 障 造成 请 “| 区 区 3,| 至 一 二 AAA 
222.223.225.24| 路 C) (e) ©O 
求 超时 。 使 用 pathping 命令 就 能 跟 和 pa a 
器 


踪 数 据 包 的 路 径 ， 查 出 故障 点 ， 并 
计算 路 由 器 转发 丢 包 率 、 链 路 丢 包 
率 以 及 延迟 ， 据 此 可 以 判断 出 网 络 


议 计 信息 ， 已 雄 时 25b 种 -- 
指向 直 纤 约 源 由 节点’ 镑 挫 
已 到 失 “ 已 发 送 | Pet 从 es - Pet 地址 


hiyperv-net-edu2act -org [10.7.1.30] 


的 拥塞 情况 。 ee 
如 图 2-198 所 示 ， 在 命令 行 下 输 By i100- x pr 所 .9288 

入 pathping www.baidu.com， 可 以 看 Ne 
到 数据 包 到 夺目 的 地 疾 经 站 由 种 、 | 2 中 作证 下 和 人 
计算 的 延迟 和 丢 包 率 。 丢 包 率 有 路 由 
器 转发 丢 包 率 , 如 图 2-198 中 D 处 所 a 
示 丢 包 率 是 路 由 器 接收 到 数据 包 后 ， as 
路 径 选 择 转发 时 的 丢 包 率 。 转发 丢 包 CD 


率 高 则 表明 这 些 路 由 器 已 经 超载 , 说 
明 路 由 器 的 处 理 能 力 不 够 ; 丢 包 率 还 
有 链 路 丢 包 率 , 如 图 2-198 中 三 处 所 全 图 2-198 pathping 的 结果 
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示 ， 是 指 路 由 器 B 到 路 由 器 C 链 路 上 的 丢 包 率 ， 链 路 上 的 丢 包 率 反映 的 是 造成 路 径 上 转发 数 
据 包 丢失 的 链 路 的 拥挤 状态 。 

3. 使 用 pathping 判断 网 络 故障 点 

葛城 水 科 院 和 正定 水 科 院 都 与 石家庄 水 科 院 连接 , 如 图 2-199 所 示 。 在 莫 城 水 科 院 部 署 了 
一 台 流 媒体 服务 器 ， 一 天 ， 正 定 水 科 院 的 人 反映 访问 葛城 的 流 媒 体 服 务 器 点 播 视频 非常 不 连 
贯 。 如 果 你 是 葛城 水 科 院 的 网 络 管 理 员 ， 如 何 断 定 是 网 络 出 现 了 拥塞 还 是 流 媒体 服务 器 过 载 ? 

出 现 问题 的 网 络 无 外 乎 是 慕 城 水 科 院 局 域 网 、 连 接 石家庄 的 A 广域网 、 连 接 石家庄 和 
正定 的 B 广域网 ， 以 及 正定 水 科 院 局 域 网 。 

断定 网 络 是 否 拥塞 的 办 法 就 是 ， 在 正定 水 科 院 的 计算 机 C 上 ping 慕 城 水 科 院 的 流 媒体 
服务 器 的 人 P 地 址 ， 如 果 响 应 时 间 很 短 ， 则 网 络 没 问题 ， 有 可 能 是 流 媒 体 服务 器 的 性 能 差 造 
成 响应 客户 端 请 求 慢 , 从 而 造成 视频 播放 不 连贯 。 如 果 有 请 求 超时 的 数据 包 或 响应 延迟 超 长 ， 
比如 大 于 500ms， 则 有 可 能 是 网 络 拥塞 造成 的 问题 。 然 后 使 用 pathping 服务 器 的 人 P 地 址 ， 
根据 pathping 的 结果 查看 哪 段 网 络 丢 包 严重 。 就 能 断定 哪 段 网 络 拥塞 。 

石家庄 水 科 院 


$B SW2 


全 图 2-199 pathping 排 错 
4. 根据 TTL 判断 对 方 是 什么 操作 系统 


TTL (Time To Live， 生 存 时 间 ), 是 全 协议 包 中 的 一 个 值 ， 指 定数 据 包 被 路 由 器 丢弃 之 
前 允许 通过 的 网 段 数量 ， 数 据 包 每 经 过 路 由 器 转发 一 次 都 至 少 要 把 TTL 减 一 ，TTL 通常 表 
示 包 在 被 丢弃 前 最 多 能 经 过 的 路 由 器 个 数 。 当 记 数 到 0 时， 路 由 器 决定 丢弃 该 包 ， 并 发 送 一 
个 ICMP 报 文 给 最 初 的 发 送 者 。 有 很 多 原因 使 包 在 一 定时 间 内 不 能 被 传递 到 目的 地 。 例 如 ， 
不 正确 的 路 由 表 可 能 导致 包 的 无 限 循 环 。 

TIL 是 由 发 送 主机 设置 的 ，TTL 字段 值 可 以 帮助 我 们 识别 操作 系统 类 型 。 下 面 是 默认 
操作 系统 TTL。 


"Liunx 64 
=m Windows 2000/NT 128 
= ”Windows 系列 32 
" ”Unix 系列 255 
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我 们 可 以 更 改 注 册 表 设置 TIL 的 值 ， 可 以 修改 ， 但 不 能 大 于 十 进 制 的 255， 使 用 ping 
发 现 的 TIL 可 以 粗略 判断 对 方 是 什么 操作 系统 ， 中 间 经 过 了 多 少 个 路 由 器 。 

下 面 使 用 ping 返回 来 的 TTL 值 判 断 百度 的 操作 系统 以 及 途经 的 路 由 器 。 如 图 2-200 
所 示 。 


于 Ping wwu.a.shifen.con [119.75.218.77] 具有 32 字 节 的 数据 : 
| 119.75.218.77 宝 节 - ‘32 由 TIL=54 
际 目 119.75.218.?7 的 回复 : 字 节 =32 时 | 本 =132ms TTL=54 己 
上 119.25.218.?7 的 回复 : 时 | 本 =132ms TITL= 54 
康 目 119.25.218.77 的 回复 : 字 [=131ins TIL=54 
hh19.25.218.77 的 Ping 和 和 
日 <Bx )， 
稚 i 
2 年 均 = 132ns 
Nsers\han> 
: 习 


全 图 2-200 通过 查看 TTL 值 判断 一 些 信息 
可 以 看 到 返回 来 的 数据 包 TTL 值 为 54， 接 近 64， 可 以 初步 断定 其 是 Linux 操作 系统 ， 
中 间 经 过 10 个 路 由 器 到 达 本 机 因此 TTL 变 为 54。 
使 用 ping 后 面 添 加 i 参数， 可 以 更 改 计算 机 发 送 ICMP 数据 包 的 TITL 值 ， 如 下 所 示 ， 
后 面 添加 了 1， 从 网 关 〈 也 就 是 第 一 个 路 由 器 ) 就 返回 TIL 在 传输 中 过 期 。 如 果 是 
， 就 会 从 第 二 个 路 由 器 返回 TTL 在 传输 过 程 中 过 期 ， 如 果 输 入 3， 我 们 就 可 以 不 用 使 用 
oid 站 生生 且 和 如 图 2-201 所 示 。 


和 


BG 
pi 和 抽 角 :gk -ce 琴 ，， 


:users shan 


半 : 


全 图 2-201 ping 后 面 添加 i 参数 
2.6.3 IGMP 协议 


Internet 组 管理 协议 IGMP (The Intemet Group Management Protocol) 是 因特网 协议 家 
族 中 的 一 个 组 播 协议 ， 用 于 也 主机 向 任意 一 个 直接 相 邻 的 路 由 器 报告 它们 的 组 成 员 情况 。 
IGMP 信息 封装 在 IP 报 文中 ， 其 他 协议 号 为 2。 

IGMP 用 来 在 IP 主机 和 与 其 直接 相 邻 的 组 播 路 由 器 之 间 建 立 、 维 护 组 播 组 成 员 关 系 。 
IGMP 不 包括 组 播 路 由 器 之 间 的 组 成 员 关 系 信 息 的 传播 与 维护 ， 这 部 分 工作 由 各 组 播 路 由 协 
议 完成 。 所 有 参与 组 播 的 主机 必须 实现 IGMP。 

参与 IP 组 播 的 主机 可 以 在 任意 位 置 、 任 意 时 间 、 成 员 总 数 不 受 限制 地 加 入 或 退出 组 播 
组 。 组 播 路 由 器 不 需要 也 不 可 能 保存 所 有 主机 的 成 员 关 系 , 它 只 是 通过 IGMP 协议 了 解 每 个 
接口 连接 的 网 段 上 是 否 存在 某 个 组 播 组 的 接收 者 ， 即 组 成 员 。 而 主机 方 只 需要 保存 自己 加 入 
了 哪些 组 播 组 。 
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2.6.4 ARP 协议 


地 址 解析 协议 ARP (Address Resolution Protocol) 可 以 由 已 知 主机 的 卫 地 址 在 网 络 上 查 
找到 它 的 硬件 地 址 。 其 工作 过 程 如 下 。 

(1) 同 网 段 通信 。 

如 图 2-202 所 示 ， 当 计算 机 A 和 计算 机 B 通信 ， 计 算 机 A 需要 获得 计算 机 B 的 MAC 
地 址 , 计算 机 A 根据 自己 的 瑟 地 址 以 及 子 网 掩 码 判断 出 和 目标 瑟 地 址 在 同一 个 网 段 ， 计 算 
机 A 就 直接 在 网 上 发 送 一 个 ARP 广播 包 解析 目标 B 计算 机 他 地 址 对 应 的 MAC 地 址 , 该 数 
据 帧 目标 MAC 地 址 为 FF-FF-FF-FF-FF-FF， 该 网 段 的 计算 机 都 能 收 到 该 广播 包 ， 计 算 机 B 
返回 计算 机 自己 的 MAC 地 址 ， 计 算 机 A 缓存 该 结果 。 后 续 的 通信 都 用 该 MAC 地 址 封装 。 

(2) 不 同 网 段 通信 。 

如 图 2-202 所 示 ， 计 算 机 A 和 计算 机 C 通信 ， 计 算 机 A 根据 自己 的 下 地 址 以 及 子 网 掩 
码 判 断 出 和 目标 P 地 址 不 在 同一 个 网 段 ， 因 此 计算 机 A 发 送 ARP 广播 包 解 析 网 关 的 MAC 
地 址 ， 也 就 是 路 由 器 的 接口 地 址 192.168.1.1 的 MAC 地 址 。 路 由 器 返回 自己 的 MAC 地 址 ， 
计算 机 A 缓存 解析 的 结果 


各 位 都 听 着 ! 
192.168.1.1 的 MAC 地 
址 是 多 少 ? 


an [192.168.2.100] 
192.168.1.101 


ey 


192.168.2.1 


92.168.1.1 


全 图 2-202 ARP 解析 过 程 
从 以 上 描述 可 以 看 出 ，ARP 解析 MAC 地 址 时 ， 不 进行 任何 验证 ， 缓存 的 结果 还 可 以 被 
其 他 计算 机 重新 修改 ， 这 就 是 一 个 很 严重 的 安全 漏洞 。 下 面 将 会 介绍 利用 ARP 漏洞 的 一 款 
局 域 网 流量 控制 软件 “P2P 终结 者 ”。 
道 向 ARP 即 RARP， 就 是 已 知 MAC 地 址 得 到 人 P 地 址 ， 如 果 计 算 机 的 下 地 址 配置 为 自 
动 获得 ， 将 会 使 用 RARP， 即 请 求 PP 地 址 过 程 用 到 的 协议 为 逆向 RAP (RARP)。 
.局域网 流量 控制 软件 


P2P 终结 者 按 正 常 来 说 是 个 很 好 的 网 管 软件 , 但 是 好 多 人 却 拿 它 来 恶意 地 限制 他 人 的 流量 ， 
使 他 人 不 能 正常 上 网 。 下 面 我 们 对 P2P 终结 者 的 功能 以 及 原理 还 有 突破 方法 进行 详细 的 介绍 。 
我 们 先 来 看 看 来 自 网 上 P2P 的 资料 : P2P 终结 者 是 由 NetSoft 工作 室 开发 的 一 套 专门 用 
来 控制 企业 网 络 P2P 下 载 流 量 的 网 络 管理 软件 。 该 软件 针对 目前 P2P 软件 过 多 占用 带宽 的 
问题 ， 提 供 了 一 个 非常 简单 的 解决 方案 。P2P 终结 者 基于 底层 协议 分 析 处 理 实现 ， 具 有 良好 
的 透明 性 。 它 可 以 适应 绝 大 多 数 网 络 环境 ， 包 括 代理 服务 器 、ADSL 路 由 器 共享 上 网 、LAN 
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专线 等 网 络 接 入 环境 。 

P2P 终结 者 彻底 解决 了 交换 机 连接 网 络 环境 的 问题 , 做 到 真正 只 需要 在 任意 一 台 主 机 安 
装 即 可 控制 整个 网 络 的 P2P 流量 , 对 于 网 络 中 的 主机 来 说 具有 良好 的 控制 透明 性 ， 从 而 有 效 
地 解决 了 这 一 目前 令 许多 网 络 管理 员 都 极为 头痛 的 问题 ， 具 有 较 好 的 应 用 价值 。 

P2P 终结 者 的 功能 可 以 说 是 非常 强大 的 , 作者 开发 它 是 为 网 络 管理 者 所 使 用 , 但 是 由 于 现 
在 P2P 终结 者 的 破解 版 在 网 上 广 为 流 传 (P2P 是 一 款 收 费 软件 )， 如 果 被 网 络 管理 者 正当 地 使 
用 也 罢了 ， 但 是 却 有 很 多 人 利用 它 来 恶意 控制 别人 的 网 速 ， 使 得 我 们 平时 的 正常 使 用 都 出 现 
问题 。 尤 其 P2P 终结 者 比 另外 的 一 些 网 管 软件 多 出 很 多 功能 ， 最 为 突出 的 是 控制 目前 比较 流 
行 的 多 种 P2P 协议 ， 像 BitTorrent 协议 、Baidu 下 吧 协 议 、Poco 协议 、Kamun 协议 等 。 该 软件 
ee 2 Dit 比特 彗星 )、 Bitspidt ER 


制 功能 ， FTP 下 载 限制 功能 ， oo MSN、 POO Ue 0 

那么 它 到 底 是 怎样 实现 这 些 功 能 的 呢 ? 要 想 突破 它 ， 流 得 对 它 的 原理 有 比较 清楚 的 了 解 。 

P2P 终结 者 对 这 些 软件 下 载 的 限制 最 基本 的 原理 也 和 其 他 的 网 管 软件 相同 ， 像 网 络 执法 
官 一 样 ， 都 用 的 是 ARP 欺骗 原理 。 

正常 情况 下 ， 当 计算 机 A 要 发 送 数据 给 B 的 时 候 ， 就 会 先 去 查询 本 地 的 ARP 缓存 表 ,， 找 
到 计算 机 也 的 瑟 地 址 对 应 的 MAC 地 址 , 然后 进行 数据 传输 。 如 果 没 有 找到 , 则 广播 一 个 
请 求 报 文 〈 携 带 计 算 机 A 的 瑟 地 址 IA 和 物理 地 址 MA)， 请 求全 地 址 为 B 的 MAC 地 址 。 
网 上 所 有 计算 机 包括 计算 机 B 都 收 到 ARP 请 求 ， 但 只 有 计算 机 B 能 识别 自己 的 他 地址 ， 于 
是 向 计算 机 A 发 回 一 个 ARP 响应 报 文 , 其 中 就 包含 有 计算 机 B 的 MAC 地 址 。 计算机 A 接收 
到 计算 机 B 的 应 答 后 ， 就 会 更 新 本 地 的 ARP 缓存 ,接着 使 用 这 个 MAC 地 址 发 送 数据 。 因 此 ， 
本 地 高 速 缓存 的 这 个 ARP 表 是 本 地 网 络 流通 的 基础 ， 而 且 这 个 缓存 是 动态 的 。 ARP 协议 并 
不 只 在 发 送 了 ARP 请 求 后 才 接收 ARP 应 答 ， 当 计算 机 接收 到 ARP 应 答 数据 包 的 时 候 ， 就 会 
对 本 地 的 ARP 缓存 进行 更 新 ， 将 应 答 中 的 他 和 MAC 地 址 存储 在 ARP 缓存 中 。 

如 果 计 算 机 A 解析 计算 机 B 的 MAC 地 址 时 ， 网 络 中 的 计算 机 C 向 计算 机 A 发 送 一 个 

应 答 ， 冒 充 计算 机 B 伪造 ARP 响应 即 瑟 地 址 为 计算 机 B 的 了 P， 而 MAC 地 址 是 计算 机 C 

MAC 地 址 ， 则 当 计 算 机 A 接收 到 计算 机 C 伪造 的 ARP 应 答 后 , 就 会 更 新 本 地 的 ARP 组 
存 。 这 样 在 计算 机 A 看 来 ， 计 算 机 B 的 人 P 地 址 没有 变化 ， 而 其 MAC 地 址 已 不 是 原来 的 那 
个 了 。 由 于 局 域 网 的 交换 机 转发 数据 不 是 根据 人 P 地 址 进行 ， 而 是 按照 MAC 地 址 进行 转发 。 
这 样 计算 机 A 发 给 计算 机 B 的 通信 ， 将 通过 交换 机 转发 到 计算 机 C， 然 后 再 由 计算 机 C 转 
发 给 计算 机 B， 这 样 就 能 够 捕获 计算 机 A 和 计算 机 B 之 间 的 通信 ， 当 然 计 算 机 C 也 能 够 控 
制 通信 的 带宽 。 
如 果 那 个 伪造 出 来 的 MAC 地 址 在 计算 机 A 上 被 修改 成 一 个 不 存在 的 MAC 地 址 ， 则 会 
造成 网 络 不 通 ， 导 致 计算 机 A 不 能 ping 通 计算 机 B。 这 就 是 一 个 简单 的 ARP 欺骗 。 
看 到 这 些 内 容 ， 想 必 大 家 也 就 会 明白 为 什么 P2P 可 以 对 网 络 中 的 计算 机 进行 流量 控制 。 
其 实在 这 儿 ， 它 充当 了 一 个 网 关 的 角色 。 如 图 2-203 所 示 ， 把 一 网 段 内 的 所 有 计算 机 的 数据 
欺骗 过 来 ， 然 后 再 进行 二 次 转发 。 所 有 被 控制 计算 机 的 数据 以 后 都 会 先 经 过 这 台 P2P 主机 ， 
然后 再 转 到 网 关 。 
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上 绑 定 你 的 出 口 路 由 器 的 MAC 地 
址 ，P2P 终结 者 软件 不 能 对 你 进行 
ARP 欺骗 ， 自 然 也 没 法 管 你 ， 不 过 
只 是 PC 绑 定 路 由 的 MAC 还 不 安 
全 。 因 为 P2P 终结 者 软件 可 以 欺骗 
路 由 ， 所 以 最 好 的 解决 办 法 是 使 用 
PC、 路 由 上 双向 IP/MAC 绑 定 。 也 


基本 原理 就 是 这 样 ， 下 面 针 对 它 的 工作 原理 进行 突破 。 
使 用 双向 IP/MAC 绑 定 , 在 PC 


局 域 网 流量 控制 软件 


就 是 说 ,在 PC 上 绑 定 路 由 的 MAC 。 

地 址 ， 在 路 由 上 绑 定 PC 的 人 和 大 SS 
MAC 地 址 。 这 就 要 求 路 由 要 支持 © [| 
IP/MAC 绑 定 。 全 图 2-203 ARP 欺骗 实现 流量 控制 


2. 使 用 P2P 终结 者 控制 流量 
下 面 就 以 同一 个 网 段 的 两 个 计算 机 演示 P2P 终结 者 流量 控制 软件 是 如 何 控制 网 络 流量 


的 。P2P 终结 者 可 以 在 http://down.51cto.comy/ 网 站 搜索 “P2P 终结 者 ”并 下 载 。 
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现在 演示 使 用 “P2P 终结 者 ”控制 Server 上 网 带宽 ， 展 示 MAC 地 址 欺骗 的 过 程 。 

(1) 在 “P2P 终结 者 ”计算 机 上 安装 P2P 终结 者 软件 ， 单 击 运行 该 软件 。 

(2) 如 图 2-204 所 示 ， 出 现 “系统 设置 ”对 话 框 ， 在 “网 卡 设置 ”选项 卡 中 ,选中 网 卡 ， 
单 击 “ 确 定 ”按钮 。 

(3) 如 图 2-205 所 示 ， 单 击 “ 扫 描 网 络 ” 按 钮 。 


Fie Edt View VM Team Vindows He 


和 [同人 全 全 好 四 加 回避 | 呈 加 图 一 总 


Fle Ede View VM Team Windows Help 


Cle Tall:Te)lalsls I EE3 


rss 
Ve | CE 下 大 0D 近 SKC) 法 (0) 
[EE [LE 四 
加 jaafal 二 / © stm =155 | waes| Nr 有 ras 的 GReiE 
到 ET [at 各 大寺 。。 机 名 加。 上行 寓 灾 03/5) | 下 
| i 
和 
Maa 
MR 
L 
再 用 
3 
这 相持 Be 
则 。 | 富 玫 相 CCE) Eg 
[IE a | [vm | EE 
To direct input to this VM, move the mouse pointer inside or press Ch+G. PE IE) Ta drect nput to this VM, move the mouse pointer nside or press CHl+G. EISLE] | 


全 图 2-204 选择 网 卡 全 图 2-205 扫描 网 络 
(4) 如 图 2-206 所 示 ， 单 击 “ 控 制 规 则 ”按钮 ， 在 出 现 的 “控制 规则 设置 ”对 话 框 中 ， 
选中 “全 局 限 速 模板 ”选项 ， 单 击 “ 编 辑 ” 按 钮 。 
(5) 如 图 2-207 所 示 , 在 “带宽 限制 ”选项 卡 中 , 指定 下 行 和 上 行 的 最 大 带宽 , 单 击 “ 确 
定 ” 按 钮 。 
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上 RD ER i Ro) 和 hd 
加 | Harrl 局 
和 人 有 


让 eps eu 


O02. 166 10 100 
Otce. 168.10 2 


JR S| © ; 
[OPE SD TE 
品名 向 尘 | 回 | |[ 


To drect input to this VM, move the moue poinier ES CnlrG. 


全 图 2-206 编辑 控制 规则 


To dired inputto this VML move the mouse pointer inside or press ClrG. 


EE 可 
LEE 国 5 worslsmrme | 国 司 要 各 国人 


CE EIEE 


a | 看 蝇 


全 图 2-207 指定 上 、 下 行 带宽 


(6) 如 图 2-208 所 示 ， 选 中 Server 的 卫 地 址 ， 单 击 “ 指 定 规则 到 主机 ”按钮 ， 在 出 现 
的 “控制 规则 指派 ”对 话 框 中 ， 选 择 “ 全 局 限 速 模板 ”选项 ， 单 击 “ 确 定 ” 按 钮 。 
(7) 如 图 2-209 所 示 ， 在 Server 上 ，ping 202.99.160.68 地 址 ， 这 是 Intemet 的 DNS 服 
务 器 的 地 址 ， 然 后 运行 arp -a 命令 查看 网 关 的 MAC 地 址 。 注意, 现在 查看 的 地 址 


是 真正 的 网 关 的 MAC 地 址 。 


Fe Edi Ver VM Team Windows Help 
是 员 [ 同 由 登台 食品 司 回 所 | 品 口 回 BS 


HD 下 砷 0) 折 册 中 法) 1 
Omen Brn a rs enn] = 


EL 局 荆 
L00188. 19 100 
MMR O02 is 10.2 


一人 各 村 抽 m0: 全 


CE IC 


下 证 二 ED HE 呈 was 玉 几 | 加 旧 


Pinging 292.39.189.68 with 32 bytos of datR: 


Reply from 282.99.169.68: bytes=32 tine=14me TTL=249 
Reply From 292.99.169.68: bytess32 tine:36ms TTL:249 
Reply From 202.99.160.68: bytee=32 tine:314me TTLz249 
Reply from 282.99.168.68: bytess32 tine=417ms TTL=249 


Ping statistics for 292.99.169.68: 
Packete: Sent = 4, Received + 4, Lost : 9 (的 loss]， 
hpproximate round trip times in milli-seconds: 
Minimun = 149s，Naximum = 417ms, Auerage = 195na 


[C:\Documents and Settings\Adninistratoryarp -a 
Interface: 192.168.19.269 --- gx19963 


Internet Address Physical Address 
192.168.19.1 90-50-56-c9-90-08 


Tupe 
dynamic 网 关 的 


lc; \Documents and Settings\Adninistrator> 
1 


| 男 :上 
EL =3 过 三井 5 所 状 奉 | 加 "wimovs、 | 同 哺 区 天 6 


CEI 二 


而 meses ee | | 


人 加 2-208 应 用 规则 到 主机 


ER EE 


全 图 2-209 查看 网 关 的 MAC 地 址 


(8) 如 图 2-210 所 示 ， 在 “P2P 终结 者 ”计算 机 上 ， 单 击 “ 启 动 控制 ”按钮 。 
(9) 如 图 2-211 所 示 ， 再 在 Server 上 ping 202.99.160.68， 然后 运行 arp -a 命令 查看 缓存 
的 MAC 地 址 ， 发 现 和 上 面 看 到 的 不 一 样 了 。 
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Fle Edt View VM Team Windows Help (ie dt View WH Teom Wndows Hp 
UDCEECETJE ELTIeIos 民 到 有 图 妇 基 羡 咏 百 国 目 已 | 习 口 圈 :本 


Cc:\>ping 2962 99-166.68 自 
ping interent 上 的 地 址 
Pineing 282.99.160.68 with 32 bytes of data 
人 eply from 202.399.169 bytes:32 time=286ms TTL=240 
口 遇 te.108.10.100 Reply from 292.39.166.68: bytes:32 time=17Tme TTL=246 
OO. ioo 10.2 Reply from 202 99.160.68: bytes:32 tine:172ms TTL=240 
ER | Reply from 202 .99.160.68: bytes:32 timez29gms TTL=240 
i 
2 Ping statistics for 202.99.160.68: 
E14 Packets: Sent = 4, Received = 4, Lost : 9 (9X 1oss)， 
a IApproximate round trip times in milli-seconds 
了 Hinimum = 172ms, Haximum > 290ms, Average = 231ms 
:N?arp -a 
探知 刚 | 设置 
Interface: 192 .168 .16.296 --- gx19663 能 析 色 的 网 关 
Internet hddress Physical hddress Type 
1932.168.19 .1 969-9c-29-3d-7f-fd_ dynamic MAC 地 址 已 经 
加 人 扫 术 车 RE 
CT EE EN AS | 间 下 厅 惠 训 :0OD NS | 国语 证 RS | 由 | 尘 
上 ET EEC 


Te direct input to this VM move the meuce poimter nside or prect C+-G. GW 4 [Te direc nput to hi WM, move the mmoute pointer intide or Frecs Cl-G. ER1 GHP 
全 图 2-210 启用 控制 全 图 2-211 查看 网 关 的 MAC 地 址 
(10) 如 图 2-212 所 示 ， 在 “P2P 终结 者 ”计算 机 上 ， 在 命令 提示 符 下 输入 ipconfig /all 
可 以 看 到 其 MAC 地 址 ， 对 比 Server 0 MAC 地 址 ， 发 现 Server 上 
缓存 的 网 关 的 MAC 地 址 是 “P2P 终结 者 ”计算 机 上 的 MAC 地 址 。 这 样 ，Server 
访问 Intemet 流量 都 会 转发 到 li 计算 机 上 ， 然 后 即 可 进行 带宽 控制 ， 
这 就 是 ARP 欺骗 。 
(11) 如 何 避 免 ARP 欺 骗 呢 ? 如 图 2-213 所 示 , 你 可 以 在 Server 上 运行 arp -s 192.168.1.1 
00-50-56-c0-00-08 添加 网 关 和 MAC 地 址 绑 定 。 运 行 arp -a 命令 ， 可 以 看 到 添加 
的 静态 的 人 P 地 址 和 MAC 地 址 映射 ， 这 样 ，Server 就 不 会 发 送 ARP 广播 包 解析 
网 关 的 MAC 地 址 了 。 


Fle Edt Vew WM Team Windows Help Fle Ed View VM Team Windons Help 


上 有 同人 切 浅 妇 厅 四 回电 | 站 回力 目 肯 [ 网 由 侣 坊 好 “ 避 固 回避 | 器 加 图 | 纹 包 


Interface: 192.168.19.296 --- gx10993 
|e: \pocunents and Sottings\Adninistrator>ipconfig /all TRO at Rone Phuaical Rddreoa 

192.168.19.1 99- -fd dunamic 
Windows IP Configuration | 192.168.19.63 90: dunanie 


Host Name sl 192.168.16.100 80-0c-29-3d-7f-fd dunanic 


Primary Dne Suffix : 
Node Type 可 : Unknoun 
IP Routing Enabled. . . . No 


WINS Proxy Enabled 和 | :VarpP_-s 192.168.1.1 900-50-56-c0-09-68 gpm 关 的 IP 和 MAC 缚 定 


:\Docunents and Settings\Administrator>cd \ 


Ethernet adapter 本 地 连接 : :Varp -a 


Connection-specific DNS Suffix IInterface: 132 .168 .16.266 --- 6x10963 

Description Intel(R) PRO/1999 MT| Internet nddress Be, Address Type 
Physical hddress 人 培 澡 69-9C-29-30-TF-FD 132.168.1 1 98 Static 
DHCP Enabled. Bi No 人 全 168-16T dynamic 
IP hddrese 人 Ep 192.168.19.199 192.168.10.63 dunanic 
Hinat. Meuk 和 192.168.10.100 00-0c-29-3d-7f- fd dynamic 
Default Gateway . Yr 192.168.19.1 

DNS Seruers 。 。 志 262.99.169.68 NA 


C:\Documents and Settings\Administrator>, 


国 |;: 硅 
BO Sms [ET 


to this VM move the mouse Pointer indide or Press Cir4G @ 寓 宇 


A 图 2-212 查看 本 机 MAC 地 址 A 图 2-213 比 定 网 关 和 MAC 地 址 


第 7 对 
第 2 


TcP/P 坊 议 IE 


贡 


(12) 如 图 2-214 所 示 ， 人 为 添加 的 卫 [ER 全 3 
地 址 和 MAC 地 址 映射 ， 不 会 过 。 IIS 
一 段 时 间 自动 删除 ,除非 重启 系 二 
统 ， 或 修复 本 地 连接 。 er 

(13) 在 路 由 器 上 ， 也 要 添加 Server 的 | es ee 

也 地 址 和 MAC 地 址 的 映射 。 二 | Be ey 
Ve 
图 一 ” TY] 
会 清空 所 有 MAC 地 址 缓存 和 
DNS 域名 解析 缓存 
关闭 名 ) 上 
KTC ee 


全 图 2-214 修复 本 地 连接 


Router#conf t 


Router (config) #arp 219.239.144.134 abcd.abcd.abcd arpa 


使 用 捕 包工 具 排 除 网 络 故障 


作为 网 络 管理 员 ， 你 可 能 会 碰 到 访问 Internet 网 速 慢 的 问题 ， 你 要 能 够 判断 出 是 哪里 出 
了 问题 ， 是 局 域 网 中 有 计算 机 发 广播 包 堵塞 了 局 域 网 ， 还 是 网 络 中 有 人 使 用 BT 下 载 软件 或 
迅雷 下 载 软件 将 广域网 的 带宽 给 占用 了 ? 你 需要 使 用 捕 包 工具 来 捕获 网 络 中 的 数据 包 , 通过 
分 析 网 络 中 的 数据 包 ， 排 除 网 络 故障 。 


2.7.1 示例 : 查看 谁 在 发 送 广 播 包 


我 给 某 单位 调试 网 络 ， 发 现 计算 机 ping 网 关 时 通 时 断 ， 不 能 判断 是 硬件 故障 还 是 软件 
故障 ， 但 是 看 到 交换 机 的 所 有 端口 指示 灯 疯 狂 闪 烁 ， 看 样子 在 疯狂 地 转发 数据 ， 初 步 判 断 网 
络 中 有 广播 包 。 到 底 哪 台 计 算 机 在 网 上 发 送 广播 ?需要 使 用 抓 包 工具 捕获 网 络 中 的 数据 包 ， 
通过 查看 数据 包 的 源 卫 地 址 找到 发 送 广播 包 的 计算 机 。 

下 面 将 会 演示 使 用 捕 包 工具 捕获 数据 包 ,并且 查 看 数据 包 的 层次 结构 、 数 据 链 路 层 的 内 
容 、 网 络 层 的 内 容 以 及 传输 层 的 内 容 和 数据 。 排 序数 据 包 ， 保 存 捕获 的 数据 包 ， 打 开 捕 获 的 
数据 包 ， 查 看 网 络 中 的 广播 帧 。 

现在 演示 使 用 Ethereal-setup-0.99.0.exe 抓 包 工具 ， 分 析 数 据 包 结 构 ， 保 存 数据 包 ， 打 开 
保存 的 数据 包 。 

在 “ 捕 包 软件 ”计算 机 上 ， 安 装 Ethereal-setup 并 运行 该 软件 。 

(1) 如 图 2-215 所 示 ， 单 击 慷 图 标 ， 选 择 网 卡 ， 单 击 Capture 按钮 ， 开 始 捕 包 。 

(2) 如 图 2-216 所 示 ， 在 出 现 的 Ethereal: Capture from.. .对 话 框 中 ， 可 以 看 到 网 络 捕 包 
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中 各 个 协议 的 比例 ， 


Fle Edt View VM Team Windows Help 
日 明 [ 国 号 各 二 本 四 回回 口 | 口 加 国生 钾 
EEC 


-o> 


| Ele Edt Vew Bo Gaptre Anahze Statistiee Help 


避 | 加 加 入 部 写 因 x 借 品 国 争 守 吧 年 


单 击 “Stop” i 停止 并 看 捕获 的 数据 包 。 
3 


[esl even ees 


Pp 


Descnpton 


Pacheis Packetsls EB 


IntelF) PROMOOOMT Network Cannection 1921691010 470 0 


jv|: 
EEC ET 


To dired nput to this VM, move the mouse pointer inside or press C+G @ 网 | 加 


选择 捕 包 网 卡 


全 图 2-215 
(3) 如 图 2-217 所 示 ， 在 上 栏 选中 第 一 个 数据 包 、 中 栏 选中 Frame， 在 下 栏 可 以 看 到 整 
个 帧 。 

(4) 如 图 2-218 所 示 ， 在 中 栏 选中 Ethemet， 在 下 栏 
目标 MAC 地 址 ， 即 整个 数据 帧 的 数据 链 路 层 部 


di View VM Team Windows Help 


国 9 | 区 酚 路 | 加 轩 回 叫 | 


else 
Fhe ER View WA Tomm Wwhoms Molys 
日 目 国富 村 疝 瑟 :本 天 加 已 | 口 
1 rE ll 
Ee 
Caplured Packets 
roa 294 onicta 国外 审 吧 于 
| 0 00% 
34 68% 
:| 27% 
o pg 
2 07% 
o pg 
| GRE | 吾 00% 
,NetBIOS o ng 
| IPK 9 0D0% 
‘unES so FE vs 
| Oher 0 00% 
Runnng 
Jy) ol: 
出 | 曾 熙 器 [局 mtam ranm .， 天 让, 大 | 同 硬 各 局 9 
To direct input to ths VM_move the mouse pointerinside cr press crltG 加 加 秽 习 | 国 


全 图 2-216 开始 捕 包 


“可 以 看 到 数据 帧 的 源 MAC 地 址 和 
分 。 


-一 一 一 
同 9 “53 本 号 :加 四 回电 | 己 巴 回 的 性 
司 挫 介 软件 
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To direct input to this YM, move the mouse pointer inside or press CHl+G. 


| 商 上 日 口 | 图 moa et 和 5R-T, 区 K | 国 c rmorsvomt | 同 可 多 加 


辐 忆 和 同 关 | 国 


A 图 2-217 整个 帧 


3 ot0. oo, Det! 202:99.160: 68 C202. 906 
了 48 C1218), ost port: donaln C53; 


| 则 到 | | 着 吕 器 | 同 weao - 到 -下 ,和 了 K | 国 cwimorsioyet | | 辣 本 要 加 50 


To direct input to this VM. meve the mouse poirter inside cr press Crl+G. EREL EES 


人 A 图 2-218 帧 的 数据 链 路 层 


(5) 如 图 2-219 所 示 ， 在 中 栏 选 中 Intemet Protocol， 在 下 栏 可 以 看 到 整个 数据 帧 的 网 络 
层 部 分 ， 包 括 数据 帧 的 目标 下 地 址 和 源 卫 地 址 。 

(6) 如 图 2-220 所 示 ， 在 中 栏 选中 User Datagram Protocol， 可 以 看 到 数据 帧 的 传输 层 部 
分 ， 包 括 数据 包 的 源 端口 和 目标 端口 。 


Top/IP 坊 议 II 
| 


he Ye om When hp hie A Tew fede hp 
昌 有 罗 -名 全 全 四 让 加 上 | 器 回 是 加 同时 各 两 喇 四 密 回 名 | 本国 | 
可 捕 包 软件 


Be Edt Vew go captur naee sptsirs Hep El Ec ven Go copue aye Stictce Holp 


赎 副 好 创制 马 旧 x 名品 国 旬 外 宫 守 量 | 副 囊 加 和 灸 岂 | 巴 回 x 印 品 | 加 种 宝 各 守业 国 屋 | 


《00550 

加 C202. 05 
VersTon: 4 
Header length: 20 byres 

Differentiated servfces Fie1d: 0x00 CDscr 
TmN] I Pnoth: #3 


2 器 吧 明史 
2 2 Ce 
040 73 of 65 74 03 63 6f ed 00 00 01 90 OL Sot. eo 


加 区 


| BO [Our | 


Te direct input to this VM, move the mouse pointer ncide or prese Cul+G. 


全 图 2-219 查看 数据 包 的 源 地 址 和 目标 地 址 


(7) 如 图 2-221 所 示 ， 在 中 栏 选 中 Domain Name System， 可 以 看 到 整个 帧 的 数据 部 分 。 
(8) 如 图 2-222 所 示 ， 单 击 Protocol 字段 ， 可 以 将 捕获 的 数据 包 按 协议 排序 。 


File Ed View VM Team Window Help File E51 Ye VM Team Windom Help 


本 9 本 全 人 四 总 回 加 | 器 如 加 9 本 六 力 四 下 加 所 | 口 
本 捕 包 区 件 


荐 Gaps anahzs Sttetse 
PTT TT TTT 马 日 x 印台 | 国 % 训 名 守业 | 刷 目 |Q 


ar enesm seem [ES |emlom 
TT 


pe 5 T9166. 
和 撤 及 议 192.188.19.i50 


np 投 押 说 we 和 as "4837268. 
做 这 和 
PP 排序 Who Nas 192.168. 
ARP 192. 1 10,100 1 
A 


[re TC BAes on Vlres 7 Opnes IE eT eer om re 7 es Caprarea 
IE ctharner I1, Sre: vmware_3a:7fifd (Oo: 本 Nt I1, Src: Vare_cb:00308 (00:50:56:cD+00:08), Dst: Viwara_zd:7fifd (00:0c:2 
| Enrernec Prorocol, Sre: 192.1 0 Er ot ded], Seer 207.40: 19,190 C207°46,19 290), Dst: 19798101OD CLo2 168 

OSE FONT: 由 -qi-m C1434), Sedq: 


‘Ss#1sston Control prorocol, src port: Prp 《8 
Hypertert Transfer Protocol 
二 Line-based rext data: text/heml 


Mm 
0 3 00 600 本 本 


| | 曾 加 章 | 右 wan ”人 5 | 本 EGG | 疝 机 克 [en BS Or | 这 


Te direct input to this YM move the mausa Pomter ncide or prass ChtG- To direct input to this VM move the mouse Pomter incide or prese Cl+G. EEL EE 


全 图 2-221 查看 数据 包 的 数据 部 分 全 图 2-222 按 协 议 排序 数据 包 


(9) 如 图 2-223 所 示 ， 选 择 File 一 Save 菜单 命令 ， 可 以 将 捕获 的 数据 包 保存 ， 供 以 后 分 
析 使 用 。 

(10) 选择 File 一 Open 菜单 命令 ， 可 以 打开 以 前 捕获 的 数据 包 。 图 2-224 是 打开 的 以 前 
排 错 网 络 故障 抓获 的 数据 包 。 可 以 看 到 捕获 的 数据 包 后 面 全 是 广播 包 ， 因 此 网 络 
发 生 堵塞 。 通 过 查看 广播 的 发 送 者 的 人 P 地 址 ， 就 能 找到 发 送 者 。 
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File Edit View VM Team Window Help 


日 全 区 两 还 下 攻 加 牟 | 口 加 国画 吾 


| 马 摘 包 软 件 ~ 
[= Mow So Sepur Sot Vew go Capue Anaye Savsirs Hep 
这 代 在 中， [口交 可 O39:. 上 
Be 中 乌 || 本 剖 攻 铺 剖 | 巴 国 x 印 吕 | 加 9 包 于 业 刷 
| ore 
% Clnse ote 
Ea 二 
ST shaveu io0 1 
= 一 ea 
le set 
i E27 < 二 
CE [TDEgzszzCCRZCTDRED 国 汪 2 rae 
radEasT 
i eo toa evow lepine Eeod se] | et 
LE 和 Eroadcasr 
惠 并 几 | 画 加 器 || 回 wuav -中 外 BT, 说 ，| 国 costast | 同 呈 区 加 35 


Te direct input to thisVM move the mcuse pointerineide or pross Crl-G. FEF. EIE] 


全 图 2-223 保存 捕获 的 数据 包 A 图 2-224 查看 广播 包 


2.7.2 ” 捕 包 软件 安装 的 位 置 


如 图 2-225 所 示 ，Officel 网 段 和 Office2 网 段 是 使 用 集线器 连接 的 ,路 由 器 连接 局 域 网 ， 
通过 路 由 器 连接 Internet。 在 Officel 网 段 的 三 计算 机 上 安装 捕 包 工具 ， 由 于 集线器 是 共享 式 
网 络 ， 能 够 捕获 Offcel 网 段 中 所 有 计算 机 之 间 的 通信 数据 包 ， 还 能 够 捕获 该 网 段 中 的 所 有 
计算 机 发 送 的 广播 数据 包 。 但 是 Offce2 网 段 计 算 机 发 送 的 广播 包 被 路 由 器 隔离 ， 所 以 了 计 
算 机 不 能 捕获 ，Office2 网 段 计 算 机 访问 Internet 的 数据 包 也 不 能 被 E 计算 机 捕获 。 


1. 能 够 捕获 本 网 段 的 计算 机 之 间 通 信 的 数据 包 ef 


2。 能 够 捕获 本 网 段 任何 计算 机 发 送 的 广播 包 和 多 播 包 Internet ， 
3. 不 能 捕获 Office 2 网 段 之 间 的 广播 包 或 多 播 包 


全 图 2-225 集线器 与 捕 包 工具 
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第 2 章 
TCP/IP 协议 有 
如 图 2-226 所 示 ， 是 使 用 交换 机 连接 的 局 域 网 。 安 装 捕 包 工具 的 计算 机 ， 能 捕获 E 计算 
机 发 送 的 数据 包 和 接收 的 数据 包 , 也 能 够 捕获 本 网 段 计算 机 发 送 的 广播 包 和 多 播 包 ; 不 能 捕 
获 本 网 段 中 其 他 计算 机 之 间 的 通信 数据 包 ， 除 非 配置 了 镜像 端口 〈 监 视 端口 ， 这 在 交换 机 章 
节 中 会 讲 到 )， 也 不 能 捕获 Office2 之 间 计算 机 通信 和 访问 Internet 的 通信 数据 包 。 


1 能 够 捕获 E 计算 机 发 送 的 数据 包 和 接收 的 数据 包 ， 
2. 能 够 捕获 本 网 段 计算 机 发 送 的 广播 包 和 多 播 包 

3. 不 能 捕获 本 网 段 中 其 他 计算 机 之 间 的 通信 数据 包 

4. 不 能 捕获 Office 2 之 间 计算 机 通信 和 访问 Internet 的 通信 数据 


全 图 2-226 交换 机 与 捕 包 工具 
如 图 2-227 所 示 , 如 果 想 捕获 Officel 网 段 和 Office2 网 段 的 计算 机 访问 Intemet 的 流量 ， 


需 将 安装 了 捕 包工 具 的 计算 机 E 放置 到 图 中 所 示 的 位 置 ,就 能 够 捕获 Officel 和 Office2 访问 
Internet 的 流量 ， 但 不 能 捕获 Officel 和 Office2 的 广播 包 或 多 播 包 。 


1. 能够 捕获 Officel 和 Office2 访问 Intemet 的 数据 包 
2. 不 能 捕获 Officel 和 Office2 的 广播 包 或 多 播 包 


人 A 图 2-227 捕 包 工具 的 位 置 
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1. TCP/IP 是 mtemet 采用 的 协议 标准 , 它 是 一 个 协议 系列 ， 由 多 个 不 同 层次 的 协议 共同 


组 成 ， 用 于 将 各 种 计算 机 和 设备 组 成 实际 的 计算 机 网 络 。 

TCP/IP 协议 系统 分 成 四 个 层次 ， 分 别 是 网 络 接口 层 、 网 络 层 、 传 输 层 与 应 用 层 。 
(1) 是 属于 网 络 层 的 低层 协议 ， 主 要 用 途 为 完成 网 络 地 址 向 物理 地 址 的 转换 。 
(2) 起 到 相反 的 作用 ， 多 用 在 无 盘 工 作 站 启动 时 利用 物理 地 址 解析 出 对 应 的 

网 络 地 址 。 

(3) 是 与 下 协议 同 层 的 协议 ， 更 确切 的 说 是 工作 在 王 协议 之 上 ， 又 不 属于 传 

输 层 的 协议 ， 可 用 于 Intemet 上 的 路 由 器 报告 差错 或 提供 有 关 意外 情况 的 信息 。 

(4) ”是 一 种 面向 连接 的 传输 协议 ， 在 协议 使 用 中 存在 着 建立 连接 、 传 输 数据 、 

撤销 连接 的 过 程 ; __ 5) 是 一 种 非 连 接 的 传输 协议 ， 采 用 这 种 协议 时 ， 每 一 个 数 


据 包 都 必须 单独 寻 径 ， 特 别 适合 于 突 发 性 短信 息 的 传输 。 


(1) A. RARP B. ICMP C. ARP D. IGMP 
(2) A. RARP B. ARP C.IPX D. SPX 
(3) A. IGMP B. ICMD C. CDMA D. WAP 
(4) A. SNMP B. NFS C.TCP D. UDP 
(5) A. HTTP B. FTP C.TCP D. UDP 


2. Internet 提供 了 大 量 的 应 用 服务 ， 分 为 通信 、 获 取信 息 与 共享 计算 机 资源 三 类 。 


(1) 是 世界 上 使 用 最 广泛 的 一 类 Internet 服务 ， 以 文本 形式 或 HTML 格式 进 
行 信息 传递 ， 而 图 形 等 文件 可 以 作为 附件 进行 传递 。 
__ (2) 是 用 来 在 计算 机 之 间 进 行文 件 传输 。 利 用 该 服务 不 仅 可 以 从 远程 计算 机 
获取 文件 ， 而 且 可 以 将 文件 从 本 地 计算 机 传送 到 远程 计算 机 。 

(3) 是 目前 Intemet 上 非常 丰富 多 彩 的 应 用 服务 , 其 客户 端 软件 称 为 浏览 器 。 
目前 较为 流行 的 Browser/Server 网 络 应 用 模式 就 以 该 类 服务 作为 基础 。 

(4) _ 应 用 服务 将 主机 变 为 远程 服务 器 的 一 个 虚拟 终端 ， 在 命令 行 方式 下 运行 
时 ， 通 过 本 地 计算 机 传送 命令 ， 在 远程 计算 机 上 运行 相应 程序 ， 并 将 相应 的 运行 结 
果 传 送 到 本 地 计算 机 显示 。 


(1) A. Email B. Gopher C. BBS D. TFTP 
(2) A.DNS B.NFS C.WWW D. FIP 
(3) A. BBS B. Gopher C.WWW D. NEWS 
(4) A. ECHO B. WAIS C. RLOGIN D. Telnet 


. 相对 于 ISO/OSI 的 7 层 参考 模型 中 的 低 4 层 ，TCP/IP 协议 集 内 对 应 的 层次 有 


(1) _， 它 的 传输 层 协议 TCP 提供 (2) _ 数据 流传 送 ，UDP 提供 
(3) _ 数据 流传 送 ， 它 的 互联 网 层 协议 下 提供 (4) _ 分 组 传输 服务 。 
(1) A. 传输 层 、 互 联网 层 、 网 络 接口 层 和 物理 层 
B. 传输 层 、 互 联网 层 、 网 络 接口 层 
C. 传输 层 、 互 联网 层 、ATM 层 和 物理 层 
D. 传输 层 、 网 络 层 ， 数 据 链 路 层 和 物理 层 
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(2) A. 面向 连接 的 ， 不 可 靠 的 
B. 无 连接 的 、 不 可 靠 的 
C. 面向 连接 的 、 可 靠 的 
D. 无 连接 的 、 可 靠 的 
(3) A. 无 连接 的 
B. 面向 连接 的 
C. 无 连接 的 、 不 可 靠 的 
D. 面向 连接 的 、 不 可 靠 的 
(4) A. 面向 连接 的 、 保 证 服务 质量 的 
B. 无 连接 的 、 保 证 服务 质量 的 
C. 面向 连接 的 、 不 保证 服务 质量 的 
D. 无 连接 的 ， 不 保证 服务 质量 的 
. TCP/IP 协议 的 体系 结构 分 为 应 用 层 、 传 输 层 、 网 络 互 联 层 和 _ QQ》 _。 其 中 传输 
层 协议 有 TCP 和 __ (2) _。 
(1) A. 会 话 层  B. 网 络 接口 层 C. 数据 链 路 层 D. 物理 层 
(2) A. ICMP B. UDP C.FTP D. EGP 
. TCP/IP 网 络 的 体系 结构 分 为 应 用 层 、 传 输 层 、 网 络 互 联 层 和 网 络 接口 层 。 属 于 传输 
层 协议 的 是 。 


A.TCP 和 ICMP B.IP 和 FTP C. TCP 和 UDP D.ICMP 和 UDP 
. 在 WWW 服务 器 与 客户 机 之 间 发 送 和 接收 HTML 文档 时 ， 使 用 的 协议 是 。 
A.FTP B. GOPHER C.HTTP D.NNTP 
. 下 面 关于 ICMP 协议 的 描述 中 ， 正 确 的 是 。 


A.ICMP 协议 根据 MAC 地 址 查找 对 应 的 他 地址 
B. ICMP 协议 把 公 网 的 他 地址 转换 为 私 网 的 他 地址 
C. ICMP 协议 用 于 控制 数据 包 传送 中 的 差错 情况 
D. ICMP 协议 集中 管理 网 络 中 的 了 P 地 址 分 配 

. 下 面 关 于 ARP 协议 的 描述 中 ， 正 确 的 是 
A. ARP 报 文 封 装 在 卫 数据 包 中 传送 
B. ARP 协议 实现 域名 到 人 P 地 址 的 转换 
C. ARP 协议 根据 耳 地 址 获取 对 应 的 MAC 地 址 
D. ARP 协议 是 一 种 路 由 协议 

. 在 使 用 路 由 器 的 TCP/IP 网 络 中 ， 两 主机 通过 一 路 由 器 互 连 ， 提 供 主机 A 和 主机 B 
应 用 层 之 间 通 信 的 层 是 __〈1) _， 提 供 计 算 机 之 间 通 信 的 层 是 (2) _， 具 有 
卫 层 和 网 络 接口 层 的 设备 (3) _; 在 主机 A 与 路 由 器 R 和 路 由 器 RR 与 主机 B 
使 用 不 同 物理 网 络 的 情况 下 , 主机 A 和 路 由 器 及 之 间 传 送 的 数据 帧 与 路 由 器 R 和 主 
机 B 之 间 传 送 的 数据 帧 (4) _， 主机 A 与 路 由 器 及 之 间 传 送 的 下 数据 包 和 路 
由 器 有 与 主机 了 之 间 传 送 的 人 P 数据 包 (5) 。 
(1) A. 应 用 层 
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B. 传输 层 
C. 卫 层 
D. 网 络 接口 层 
(2) A. 应 用 层 
B. 传输 层 
C. 卫 层 
D. 网 络 接口 层 
(3) A. 包括 主机 A、B 和 路 由 器 RR 
B. 仅 有 主机 A、B 
. 仅 有 路 由 器 及 
. 也 应 具有 应 用 层 和 传输 层 
. 是 不 同 的 
. 是 相同 的 
. 有 相同 的 MAC 地址 
. 有 相同 的 介质 访问 控制 方法 
. 是 不 同 的 
. 是 相同 的 
. 有 不 同 的 下 地 址 
. 有 不 同 的 路 由 选择 协议 
. 在 TCP/IP 网 络 中 ， 为 各 种 公共 服务 保留 的 端口 号 范 
A. 1~255 
B. 1~1023 
C. 1 一 1024 
D. 1 一 65535 
. 下 面 关 于 ICMP 协议 的 描述 中 ， 正 确 的 是 。 
A. ICMP 协议 根据 MAC 地址 查找 对 应 的 下 地址 
B. ICMP 协议 把 公 网 的 耳 地 址 转换 为 私 网 的 卫 地 址 


围 是 。 


C.ICMP 协议 根据 网 络 通信 的 情况 把 控制 报 文 传送 给 发 送 方 主机 


D. ICMP 协议 集中 管理 网 络 中 的 瑟 地 址 分 配 
下 面 信息 中 
A. 目标 端口 号 

B. 顺序 号 

C. 发 送 端口 号 

D. 校 验 和 

某 校园 网 用 户 无 法 访问 外 部 站 点 210.102.58.74， 管 理 
可 以 使 用 
A. ping 210.102.58.74 


12. 


1 
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包含 在 TCP 头 中 而 不 包含 在 UDP 头 中 。 


人 员 在 Windows 操作 系统 下 


判断 故障 发 生 在 校园 网 内 还 是 校园 网 外 。 
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B. pathping 210.102.58.74 
C. netstat 210.102.58.74 
D. arp 210.102.58.74 
14. ARP 协议 的 作用 是 _Q〉》 ，ARP 报 文 封装 在 ” (2) _ 中 传送 。 
(1) A. 由 也 地 址 查找 对 应 的 MAC 地 址 
B. 由 MAC 地 址 查找 对 应 的 他 地址 
C. 由 下 地 址 查找 对 应 的 端口 号 
D. 由 MAC 地 址 查找 对 应 的 端口 号 
(2) A. 以 太 帧 
B. 卫 数据 包 
C. UDP 报 文 
D. TCP 报 文 
15. 关于 Windows 防火 墙 的 作用 ， 描 述 正 确 的 有 
A. Windows 防火 墙 能 够 阻止 进入 计算 机 的 流量 
B. Windows 防火 墙 能 够 控制 出 计算 机 的 流量 
C. Windows 防火 墙 能 够 阻止 木马 产生 的 网 络 流量 
D. Windows 防火 墙 能 够 打开 某 些 端口 
16. 关于 Windows 上 设置 IPSec， 其 功能 描述 正确 的 有 
A.IPSec 只 能 限制 出 去 的 流量 
B. IPSec 只 能 限制 进入 计算 机 的 流量 
C.IPSec 只 能 严格 限制 出 入 计算 机 的 流量 
D. IPSec 能 够 基于 端口 和 下 地 址 进行 控制 
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习题 答案 


12.B 
13.B 
14. (1) A 
15.A、D 
16.C、D 


(2) A 
《2 小 下 
《2) EC 
(2) B 


《2 CC 


(2) A 


(3) A 
(3 © 
C3 


(3) A 


(4) C 
(4) D 
(4) D 


(4) A 


第 3 章 IP 地址 


在 任何 有 关 TCP/IP 的 讨论 中 ， 一 个 最 为 就 是 IP 寻 址 。IP 地 址 是 IP 网 络 上 
每 台 计 算 机 的 数字 标识 符 ， 它 指明 了 在 此 网 络 位 置 。 
! 是 编码 烧 录 到 网 卡 中 的 ， 并 且 主 要 用 


信 ， 并 在 此 过 程 中 无 须 考虑 这 两 台 主 
在 我 们 开始 学 习 有 关 IP 寻 址 的 和 
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医 对 理解 IP 地 址 


所 谓 了 下 地 址 就 是 给 每 个 连接 在 Intemet 上 的 主机 分 配 的 一 个 32bit 地 址 。IP 地 址 用 来 定 
位 网 络 中 的 计算 机 和 网 络 设备 。 


3.1.1 IP 地 址 组 成 


在 讲解 卫 地 址 之 前 ， 先 介 
二 下 大 家 站 和 的 电话 号 相通。 ”用 电话 号 码 来 理解 IP 地 址 规划 


过 电话 号 码 来 理解 下 地 址 。 ~ 
大 家 都 知道 , 电话 号 码 由 区 /和 六 上 

号 和 本 地 号 码 组 成 。 如 图 3-1 所 (eaoo / 半 
石家庄 区 号 是 0311、 北京 市 一 一 ~、 Sec 

区 号 010、 保 定 地 区 区 号 是 /A DC 


0312。 同一 地 区 的 电话 号 码 有 相 。/ \ 
同 的 区 号 打 本 地 电话 不 用 挨 区 bs nl ] 
/ 


i / 
号 ， 打 长 途 需要 拨 区 号 。 ® /| 
和 电话 号 码 的 区 号 一 样 ， 计 反 YY 到 
算 机 的 下 地 址 也 有 两 部 分 组 成 ， We 
一 部 分 为 网 络 标 识 , 一 部 分 为 主 家 庄 地 区 
机 标识 ， 如 图 3-2 所 示 ， 同 一 网 全 图 3-1 电话 号 码 


段 的 计算 机 网 络 部 分 相同 ， 路 由 器 连接 不 同 网 段 ， 负 责 不 同 网 段 之 间 的 数据 转发 ， 交 换 机 连 
接 的 是 同一 网 段 的 计算 机 。 


网 络 标识 和 主机 标识 
ne Se 县 县 屋 、 
段 转 发 数据 。 你 
ke 娩 呈 和 交 一 一 
11.0.02\ NI1003- oo 人 
en 


"6B 
< 3 


全 图 3-2 网 络 IP 地 址 
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3.1.2 学习 IP 地 址 预备 知识 

二 进 制 是 计算 技术 中 广泛 采用 的 一 种 数 制 。 二 进 制 数据 是 用 0 和 1 两 个 数码 来 表示 。 它 
的 基数 为 2， 进位 规则 是 “ 逢 二 进 一 ” 借 位 规则 是 “ 借 一 当 二 ”。 当 前 计算 机 系统 使 用 的 基 
本 上 都 是 二 进 制 。 

下 面 列 出 三 进 制 和 十 进 制 的 对 应 关系 ， 要 求 最 好 记 住 这 些 对 应 关系 ， 二 进 制 每 进 一 位 ， 
对 应 的 十 进 制 乘 以 2。 


二 进 制 十 进 制 
1 1 
10 2 
100 4 
1000 8 
10000 16 
100000 32 
1000000 64 
10000000 128 
下 面 的 对 应 关系 最 好 也 记 住 ， 这 对 以 后 的 学 习 会 很 有 帮助 。 

二 进 制 十 进 制 
10000000 128 
11000000 192 
11100000 224 
11110000 240 
11111000 248 
11111100 站 2 
11111110 254 
11111111 255 

图 3-3 是 二 进 制 和 十 进 制 的 对 应 关系 图 ， 大 家 最 好 记 住 这 些 对 应 关系 。 

图 示 二进制 和 十 进 制 对 应 关系 
id 二 进 制 111p1000 
11140000 
00030 01000000 10000000 11100000| 
oo00n | | 1100poo0 | ] | 11111111 
0816 32 64 128 192 224 OE 
240 
十 进 制 


全 图 3-3 ”二进制 与 十 进 制 的 对 应 关系 
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3.1.3 ”IP 地 址 写法 


按照 TCP/IP 协议 规定 , IP 地 址 用 二 进 制 来 表 
示 ,， 每 个 全 地址 长 32 比特 ， 比 特 换算 成 字 节 ， 就 
是 4 个 字 节 。 例 如 一 个 采用 二 进 制 形式 的 人 P 地 址 
是 “10101100000100000001111000111000”， 这 么 
长 的 地 址 , 人 们 处 理 起 来 太 麻烦 。 为 了 方便 人 们 的 
使 用 ， 这些 位 通常 被 分 割 为 4 个 部 分 ， 每 一 部 分 8 
位 ， 中 间 使 用 符号 “.” 分 开 ， 分 成 4 部 分 的 二 进 
制 地 址 ，10101100.00010000.00011110.00111000， 
卫 地 址 经 常 被 写成 十 进 制 的 形式 ， 于 是 ， 上 面 的 
IP 地 址 可 以 表示 为 “172.16.30.56”。IP 地 址 的 这 
种 表示 法 叫做 “点 分 十 进 制 表示 法 ”， 这 显然 比 1 
和 0 容易 记忆 得 多 。 

点 分 十 进 制 这 种 PP 地 址 写法 ， 方 便 了 我 们 书 
写 和 记忆 ， 通 常 我 们 为 计算 机 配置 人 P 地 址 就 是 这 
种 写法 。 如 图 3-4 所 示 。 


192 .168 ， 10 .253 
255 .255 .255 . 0 
192 .168 .10 .1 


PR 自动 世 得 DNS 有 务 宫 地 址 外) 
王 人 使 用 下 面 的 DNS 服务 器 地 址 外 ;一 一 一 一 一 一 一 一 
222 .222 .222 .222 


首选 DIS 服务 器 下): 
备用 DRS 服务 器 届 ) 202 .99 ,168 . 8 
厂 过 出 时 验证 设置 L) 高 级 


全 图 3-4 点 分 十 进 制 记 


8 位 二 进 制 的 11111111 转换 成 十 进 制 就 是 255。 因 此 点 分 十 进 制 的 每 一 部 分 最 大 不 能 超 


过 255。 


3.1.4 ”IP 地 址 的 分 类 


最 初 设计 互联 网 络 时 ，Intemet 委员 会 定义 了 5 种 人 P 地 址 类 型 以 适合 不 同 容量 的 网 络 ， 即 
A 类 -上 类 。 其 中 A、B、C 三 类 由 IntemetNIC 在 全 球 范围 内 统一 分 配 ，D、E 类 为 特殊 地 址 。 


"网络 地 址 的 最 高 位 是 0 的 地 址 为 A 类 地 址 。 
"网络 地 址 的 最 高 位 是 10 的 地 址 为 B 类 地 址 。 
" ”网络 地 址 的 最 高 位 是 110 的 地 址 为 C 类 地 址 。 


" ”网 络 地 址 的 最 高 位 是 1110 的 地 址 为 D 类 地 址 。 
" ”网 络 地 址 的 最 高 位 是 11110 的 地 址 为 EE 类 地 址 。 


如 图 3-5 所 示 : 


"A 类 地 址 点 分 十 进 制 第 一 部 分 取 值 范围 1 一 126，127 为 测试 地 址 。 

”了 B 类 地 址 点 分 十 进 制 第 一 部 分 取 值 范围 128 一 191。 

" C 类 地 址 点 分 十 进 制 第 一 部 分 取 值 范围 192 一 223。 

"DD 类 地 址 点 分 十 进 制 第 一 部 分 取 值 范围 224 一 239， 用 于 多 播 〈 也 称 为 组 播 ) 的 地 
址 ， 希 望 读者 能 够 记 住 多 播 地 址 的 范围 ， 因 为 有 些 病毒 除了 在 网 络 中 发 送 广 播 外 ， 
还 有 可 能 发 送 多 播 数据 包 , 使 用 捕 包 工具 排除 网 络 故 障 , 必须 能 够 判断 捕获 的 网 络 


中 的 数据 包 是 多 播 还 是 广播 。 


" 也 类 地 址 点 分 十 进 制 第 一 部 分 取 值 范围 240~254， 用 于 科学 实验 ， 在 本 书 中 并 不 
讨论 这 些 类 型 的 地 址 〈 并 且 你 也 不 必 了 解 这 些 内 容 ) 。 


第 : 
I 地址 轩 是 本 是 是 
IP 地 址 分 类 示意 图 


也 119000.00000000.00000000.00000000 


Ergooo0d 
Hie AN .00000000.00000000 


SN 二 eden 00000000 


ooooooo We .0000000QN CE 
000000 mm 000! 1111| 
Ne 0| 
ns Se 小 11111111 
000000000 


~ D 类 TT 
0 128 192 224 240 255 
全 图 3-5 IP 地 址 分 类 
现在 给 你 个 IP 地 址 ， 根 据 上 面 地址 分 类 标准 ， 你 就 应 该 很 快 判断 出 该 地 址 是 哪 一 类 地 
址 。 比 如 122.23.34.9，122 取 值 在 1 一 126 之 间 ， 该 地 址 属于 A 类 地 址 。145.32.34.43，145 
在 128 一 191 之 间 ， 该 地 址 属于 B 类 地 址 。212.23.121.12，212 取 值 在 192 一 223 之 间 ， 因 此 
属于 C 类 地 址 。 


3.1.5 网 络 ID 和 主机 ID 


上 面 讲 了 了 P 地 址 分 类 , 下 面 讲解 各 类 地 
址 默认 网 络 部 分 。 如 图 3-6 所 示 : 

" ”A 类 地 址 默认 下 地 址 的 前 8 位 三 进 
制 是 网 络 ID， 后 24 位 为 主机 ID。 

”3B 类 地 址 默认 IP 地 址 的 前 16 位 二 
进 制 是 网 络 ID, 后 16 位 为 主机 ID。 

= C 类 地 址 默认 IP 地 址 的 前 24 位 二 
进 制 是 网 络 ID， 后 8 位 为 主机 ID。 

"也 类 地 址 是 多 播 地 址 , 没有 网 络 ID 
和 主机 ID 的 划分 

以 上 可 以 看 出 A 类 地 址 主机 部 分 为 24 A 图 3-6 网络 ID 和 主机 ID 
位 二 进 制 ， 比 如 10.0.0.0 这 个 A 类 网 络 ， 该 
网 段 中 有 效 的 主机 ID 范围 10.0.0.1 一 10.255.255.254。 主 机 部 分 全 是 0 的 和 全 是 1 的 地 址 不 
能 指定 给 计算 机 使 用 。 主 机 部 分 全 0 代表 该 网 段 ， 主 机 部 分 全 1 代表 本 网 段 所 有 主机 ， 即 广 
播 地 址 。 

一 个 A 类 地 址 的 有 效 主机 ID 可 以 这 样 算出 : 256X256X256 -2=16777214。 每 部 分 取 值 
范围 0~255, 一 共 256 种 可 能 ， 排 列 组 合 结果 就 是 236X256X256， 再 减 去 主机 位 全 0 和 全 
1 的 两 个 地 址 。 

一 个 B 类 网 络 ， 有 效 的 主机 ID 数量 : 256X256-2=65534。 


119 


莫 基 
| 


120 


计算 机 网 络 (修订 版 ) 
一 个 C 类 网 络 ， 有 效 的 主机 ID 数量 : 256-2=254。 


3.1.6 ”保留 的 IP 地 址 


有 些 IP 地 址 被 保留 用 于 某 些 特殊 目的 ， 网 络 管理 员 不 能 将 这 些 地 址 分 配给 结 点 。 下 面 
列 出 了 这 些 被 排除 在 外 的 地 址 ， 并 说 明了 为 什么 要 保留 它们 。 
" ”整个 也 地 址 设置 为 1 的 地 址 : 它 不 被 路 由 ， 但 会 被 送 到 相同 物理 网 段 上 的 所 有 主 
机 ，IP 地 址 的 网 络 字段 和 主机 字段 全 为 1 就 是 地 址 255.255.255.255。 
= ， 结 点 地 址 全 为 0 的 地 址 : 特 指 某 个 网 段 ， 比 如 192.168.10.0， 指 的 是 192.168.10.0 
网 络 地 址 。 
= ， 结 点 地 址 全 为 1 的 地 址 : 网 络 广播 会 被 路 由 ， 并 会 发 送 到 专门 网 络 上 的 每 台 主 机 ， 
IP 地 址 的 网 络 字 段 定 义 这 个 网 络 ， 主 机 字段 通常 全 为 1， 如 192.168.10.255。 
”127.0.0.1: 被 保留 用 于 环 回 测试 。 指 向 本 地 结 点 ， 相 当 于 人 称 代词 中 的 “我 ”， 任 
何 计算 机 都 可 以 用 该 地 址 访问 自己 的 共享 资源 或 网 站 , 并 且 人 允许 该 结 点 发 送 测试 数 
据 包 给 自己 而 不 产生 网 络 流量 ,如 果 ping 该 地 址 能 够 通 ,说 明 你 的 计算 机 的 TCP/IP 
协议 栈 工作 正常 ， 即 便 你 的 计算 机 没有 网 卡 ，ping 127.0.0.1 还 是 能 够 通 的 。 
如 图 3-7 所 示 ， 禁 用 Server 计算 机 的 网 卡 ，ping 127.0.0.1 也 能 通 ， 足 以 说 明 不 产生 网 络 
流量 。ping 127 网 段 的 任何 地 址 ， 都 会 从 127.0.0.1 地 址 返回 数据 包 。 
如 图 3-8 所 示 ， 启 用 网 卡 ， 重 启 Server 计算 机 ， 选 择 “开始 ”一 “运行 ”命令 ， 在 打开 
的 “运行 ”对 话 框 中 输入 \127.0.0.1， 单 击 “确定 ” 按 钮 ， 能 够 通过 127.0.0.1 访问 到 本 机 的 
共享 资源 。 


le Ed View VM Team Windows Hal Fle Edt View VM Team Windows Help 


本 加 [加 四 多 硬 入 加 加 加 忆 | 口 回 图 : 酚 杞 园 加 品 中 回 图 画 如 


0.0.1 
立 件 里) 编辑 下 查看 WW 收 说 这 工具 加 ) 
加 有 -加 -和 认 | 万 午 杞 交代 严 | 区 


于 


ping 127 网 段 
中 的 任何 地 址 
都 能 够 从 

127.0.0.1 返 回 


To dirert nput to this VM move the mouse pointer inside or press C+G， 回 人 网 加 | 辆 4 
A 图 3-7 禁用 网 卡 的 本 地 环 回 地 址 A 图 3-8 启用 网 卡 的 本 地 环 回 地 址 
你 的 计算 机 启用 了 远程 桌面， 可 以 使 用 远程 桌面 客户 端 连接 127.0.0.1 地 址 ， 连 接 本 地 
计算 机 的 远程 桌面 服务 ， 如 图 3-9 所 示 。 总 之 ， 你 想 访 问 本 地 资源 ， 却 又 懒得 查看 本 地 计算 
机 的 下 地 址 和 计算 机 名 称 ， 你 都 可 以 使 用 127.0.0.1 访问 本 地 资源 。 比 如 本 地 有 个 网 站 ， 你 
可 以 打开 正 浏览 器 ， 通 过 http://127.0.0.1 访问 本 地 计算 机 的 网 站 ， 如 图 3-10 所 示 。 即 便 你 
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地址 


启用 Ty Windows 防火 墙 ， 也 不 会 影响 你 使 用 本 地 环 回 地 址 访问 本 地 资源 。 
| 


View VM Team Wirdows Help Fle Edt View VM Team |Wndows Help 


En IEEL 回回 圈 | G5 EC 日 而 加 晤 ”大 天目 安 | 癌 加 图 名 二 [9 


各 庶 不 到 服务 器 Pe 
交 件 于 ) 编辑 于 ) 查看 加 收藏 己 工具 总 ) 

回 撒 - 全 -由 因 名 | 记 扫 索 交 收 戌 天 
地 Omeroor 


本 地 网 站 


守 复 机 加 hh27.0.0.1 习 
| mg | A 


- ml nt KH 
| 更 | TE 隔 曾 生 画 了 | 首 日 | 太 据 已 Cv | 加 tun | | 二 国 委 W607 


put to this VM, move the mouse pointerinside or press Cul+G， 回回 网 号 国 Z| | To directinput to this VM, move the mouse pointer inside or press CvI+6， 问 ®@ 网 加 | 回 

全 图 3-9 连接 本 地 计算 机 的 远程 桌面 服务 全 图 3-10 访问 本 地 环 回 地 址 

" ”169.254.0.0 169.254.x.x: 实际 上 是 自动 私有 也 地址。 在 Windows 2000 以 前 的 系统 
中 ， 如 果 计 算 机 无 法 获取 IP 地 址 ， 则 自动 配置 成 “IP 地 址 : 0.0.0.0”、“ 子 网 掩 
人 码 ，0.0.0.0” 的 形式 ， 导 致 其 不 能 与 其 他 计算 机 进行 通信 。 而 对 于 Windows 2000 
以 后 的 操作 系统 ， 则 在 无 法 获取 他 地 址 时 自动 配置 成 “IP 地 址 : 169.254.x.x”、 
“ 子 网 手 码 : 255.255.0.0” 的 形式 ， 这 样 可 以 使 所 有 获取 不 到 了 P 地 址 的 计算 机 之 间 
能 够 进行 通信 ， 如 图 3-11 和 图 3-12 所 示 。 
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C: \WINDOYS\systes32\cmd. exe 口 | x| 


:Documents and Settings\hdministrator>ipconfig 


班 地 址 多 | | 
子 网 8 冯 臣 三 一 4 indows IP Configuration 闻 
有 人 网 关 丰 IE 


thernet adapter 本 地 连接 : 


Connection-specific DNS Suffix - : 
Autoconf iguration IP hddress- . . : 169.254.91.34 
Subnet Mask . . - - - - - . . . . : 255.255.9.9 


自动 获得 DIS 服务 器 地 址 ) 

一 个 合用 下 面 的 DIS 服务 器 地 址 加 ) 

首府 Ds 服 名 器 加 i 
备用 Ds 服 和 器 le=s= 


:\Docunents and Settings\hdministrator> 


全 图 3-11 自动 获得 地 址 全 图 3-12 Windows 自动 配置 的 IP 地址 
3.1.7 私有 IP 地 址 


创建 人 寻 址 方案 的 人 也 创建 了 我 们 所 说 的 私有 下 地 址 ,这些 地 址 可 以 被 用 于 私有 网 络 ， 
在 Intemet 上 的 路 由 器 上 没有 到 私有 网 络 的 路 由 表 。 这 个 设计 主要 是 为 了 满足 广泛 需要 的 安 
全 目的 ， 同 时 也 很 有 效 地 节省 了 宝贵 的 下 地 址 空间 。 
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计算 机 网 络 (修订 版 ) 


与 私有 卫 地 址 对 应 的 是 公 网 他 地 址 ， 公 网 地 址 是 全 球 统一 规划 的 网 络 地 址 ， 公 网 的 计 
算 机 和 Intemet 上 的 其 他 计算 机 可 随意 互相 访问 。 

如 果 每 个 网 络 上 的 每 台 主 机 都 必须 有 真正 可 路 由 的 IP 地 址 ， 我 们 将 在 几 年 前 用 尽 可 用 
的 IP 地 址 。 但 通过 使 用 私有 卫 地 址 ，ISP、 公 司 和 家 庭 用 户 只 需要 一 个 或 几 个 公 网 地 址 来 
将 他 们 的 网 络 连接 到 Intemet。 由 于 他 们 可 以 在 自己 的 网 络 内 部 使 用 私有 下 地址 并 运行 良好 ， 
所 以 使 用 私有 下 是 很 经 济 的 。 

要 完成 这 个 任务 ，ISP 和 公司 需要 使 用 被 称 为 网 络 地 址 转换 NAT (Network Address 
Translation) 的 技术 ， 即 主要 负责 获取 私有 卫 地 址 并 将 它 转换 成 可 在 因特网 上 使 用 的 地 址 
(NAT 将 在 以 后 章节 “网 络 地 址 转换 ”中 进行 讨论 )。 许 多 人 可 以 使 用 同一 个 真实 的 IP 地 址 
向 Internet 发 送 数 据 。 这 样 做 可 以 节省 成 千 上 万 的 地 址 空间 一 一 这 对 我 们 真 的 很 有 益 ! 

以 下 列 出 保留 的 私有 他 地 址 。 

" A 类 : 10.0.0.0 一 10.255.255.255， 保 留 了 一 个 A 类 网 络 。 

" ”BB 类 ; 172.16.0.0 一 172.31.255.255， 保 留 了 16 个 B 类 网 络 。 

= C 类 : 192.168.0.0 一 192.168.255.255， 保 留 了 256 个 C 类 网 络 。 

如 果 你 负责 为 一 个 公司 规划 网 络 , 到 底 使 用 哪 一 类 私有 地 址 呢 ? 如 果 公司 目前 有 7 个 部 
门 ， 每 个 部 门 不 超过 200 个 计算 机 ， 你 可 以 考虑 使 用 保留 的 C 类 私有 地 址 ; 如 果 你 负责 为 石 
家 庄 教 委 规 划 网 络 ， 因 为 石家庄 市 教委 和 石家庄 市 的 所 有 几 百 所 中 小 学 的 网 络 连接 ， 网 络 规 
模 较 大 ， 所 以 应 该 选择 保留 的 A 类 私有 网 络 地 址 ， 最 好 用 10.0.0.0 网 络 地 址 并 带 有 /24 的 子 
网 掩 码 ， 可 以 有 65536 个 网 络 可 供 你 使 用 ， 并且 每 个 网 络 允许 带 有 254 台 主 机 ， 这 样 的 网 络 
会 拥有 非常 大 的 发 展 空间 。 


医 吧 量 等 长 子 网 划分 


按照 上 面 PP 地 址 的 分 类 ， 一 个 A 类 网 段 ， 主 机 数量 为 256X256X256-2=16777214; 
一 个 B 类 网 络 ， 主 机 数量 为 256X256-2=65534; 一 个 C 类 网 络 ， 主 机 数量 为 256-2=254。 
如 果 一 个 网 段 中 有 30 台 计 算 机 ， 使 用 一 个 C 类 网 络 ， 还 有 大 量 的 地 址 浪费 ， 如 果 一 个 网 
段 有 300 台 计 算 机 使 用 一 个 C 类 网 络 ， 地 址 空间 不 足 ， 使 用 一 个 B 类 网 络 ， 则 浪费 的 地 址 
空间 更 大 。 

现在 的 耳 地 址 资源 紧张 ， 如 何 才能 根据 网 段 中 的 计算 机 数量 合理 地 规划 耳 地 址 ， 才 不 
至 于 造成 人 P 地 址 的 大 量 浪 费 呢 ? 这 就 是 下 面 要 讲述 的 子 网 划分 。 


3.2.1 子 网 掩 码 的 作用 


子 网 掩 码 (Subnet Mask) 又 叫 网 络 掩 码 、 地 址 掩 码 ， 它 是 一 种 用 来 指明 一 个 IP 地 址 的 
哪些 位 标识 的 是 主机 所 在 的 子 网 以 及 哪些 位 标识 的 是 主机 的 位 掩 码 。 子 网 掩 码 不 能 单独 存 
在 ， 它 必须 结合 瑟 地 址 一 起 使 用 。 子 网 掩 码 只 有 一 个 作用 ， 就 是 将 某 个 人 P 地 址 划分 成 网 络 
地 址 和 主机 地 址 两 部 分 。 

如 图 3-13 所 示 ， 如 果 一 台 计 算 机 的 人 P 地 址 配置 为 172.16.122.204， 子 网 掩 码 为 
255.255.0.0， 将 其 人 P 地 址 和 子 网 掩 码 都 写成 二 进 制 ， 进 行 与 运算 ， 即 1 和 1 与 运算 得 1，0 


和 1 或 1 和 0 做 与 运算 都 得 0。 这 样 经 地 址 子 网 撞 码 
过 了 P 地 址 和 子 网 掩 码 做 完 与 运算 后 ， 172.16.122.204 255.255.0.0 
主机 位 不 管 是 什么 值 都 归 零 ， 网 络 位 
的 值 保 持 不 变 ， 得 到 该 计算 机 所 处 的 
网 段 为 172.16.0.0。 

子 网 掩 码 很 重要 ， 配 置 错误 会 造 三 进 制 了 网 掩 吗 人 11111 |11111111 
成 计算 机 通信 故障 。 计 算 机 和 其 他 计 。。 地 和 En 
算 机 通信 时 ， 首 先 断定 目标 地 址 和 自 到 网 络 号 | 
己 是 否 在 一 个 网 段 ， 先 用 自己 的 子 网 
掩 码 和 自己 的 到 地 址 进行 与 运算 得 到 a 
自己 所 属 的 网 段 ， 再 用 自己 的 子 网 掩 码 和 目标 地 址 进行 与 运算 计算 目标 地 址 所 属 的 网 段 。 如 
果 不 在 同一 个 网 段 ， 则 使 用 网 关 的 MAC 地 址 封装 数据 帧 ， 这 会 将 数据 帧 转发 给 路 由 器 即 网 
关 ; 如 果 相同 ， 则 直接 使 用 目标 IP 地 址 的 MAC 地 址 封装 数据 帧 ， 直 接 把 数据 帧 发 给 目标 
IP 地 址 。 
" ，A 类 网 络 默认 子 网 掩 码 : 255.0.0.0; 
”了 B 类 网 络 默 认 子 网 掩 码 : 255.255.0.0; 
" C 类 网 络 默认 子 网 掩 码 : 255.255.255.0。 
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二 进 制 地址 


只 留 下 网 络 号 172.16.0.0 ”主机 位 归 零 


3.2.2 CIDR 


CIDR (Classless Inter-Domain Routing， 无 类 域 间 路 由 ) 是 一 个 在 Internet 上 创建 附加 地 
址 的 方法 ， 这 些 地 址 提供 给 Internet 服务 提供 商 (ISP)， 青 由 ISP 分 配给 客户 。CIDR 将 路 由 
集中 起 来 , 使 一 个 人 P 地 址 段 代表 主要 骨干 提供 商 服 务 的 儿 千 个 IP 地址 段 ， 从 而 减轻 Intemet 
路 由 器 的 路 由 表 。 所 有 发 送 到 这 些 地 址 的 信息 包 都 被 送 到 网 通 或 电信 等 ISP。1990 年 , Internet 
上 约 有 2000 个 路 由 ，5 年 后 ，Internet 上 有 3 万 多 个 路 由 。 如 果 没 有 CIDR， 路 由 器 就 不 能 
支持 Internet 网 段 的 增多 。CIDR 采用 13 一 27 位 可 变 网 络 ID, 而 不 是 A、B、C 类 网 络 ID 所 
用 的 固定 的 8、16 和 24 位。 在 下 地 址 后 面 添 加 一 个 /, 后 面 是 二 进 制 子 网 掩 码 的 位 数 。 比 如 
192.168.10.32/24， 意 味 着 该 地 址 子 网 掩 码 长 度 为 24， 即 11111111.11111111.11111111. 
00000000， 等 价 于 子 网 掩 码 255.255.255.0。 
了 网 拓 码 的 二 进 制 写 法 以 及 相对 应 的 CIDR 的 斜 线 表 示 如 表 3-1 所 示 。 
表 3-1 子 网 掩 码 的 二 进 制 写法 以 及 相对 应 的 CIDR 斜 线 表示 


二 进 制 子 网 掩 码 CIDR 值 

11111111. 10000000. 00000000.00000000 /8 

11111111. 10000000. 00000000.00000000 255.128.0.0 9 

11111111. 11000000. 00000000.00000000 /10 
11111111. 11100000. 00000000.00000000 /11 
11111111. 11110000. 00000000.00000000 /12 
11111111. 11111000. 00000000.00000000 /13 
11111111. 11111100. 00000000.00000000 /14 
11111111. 11111110. 00000000.00000000 /15 
11111111. 11111111. 00000000.00000000 /16 
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续 表 
二 进 制 子 网 掩 码 CIDR 值 
11111111. 11111111. 10000000.00000000 255.255.128.0 /17 
11111111. 11111111. 11000000.00000000 255.255.192.0 /18 
11111111. 11111111. 11100000.00000000 255.255.224.0 /19 
11111111. 11111111. 11110000.00000000 255.255.240.0 /20 
11111111. 11111111. 11111000.00000000 255.255.248.0 /21 
11111111. 11111111. 11111100.00000000 255.255.252.0 /22 
11111111. 11111111. 11111110.00000000 /23 
11111111. 11111111. 11111111.00000000 255.255.255.0 /24 
11111111. 11111111. 11111111.10000000 255.255.255.128 125 
11111111. 11111111. 11111111.11000000 255.255.255.192 /26 
11111111. 11111111. 11111111.11100000 /27 
11111111. 11111111. 11111111.11110000 /28 
I NI IIIIILI111000 29 
11111111. 11111111. 11111111.11111100 /30 


3.2.3 ”等 长 子 网 划分 


了 网 划分 的 任务 包括 两 部 分 : 


确定 子 网 掩 码 的 长 度 。 
子 网 中 第 一 个 可 用 的 他 地址 和 最 后 一 个 可 用 的 下 地址 。 


1. 等 分 成 两 个 子 网 
下 面 以 一 个 C 类 地 址 划分 为 两 个 网 段 为 例 ， 演 示 子 网 划分 的 过 程 。 
如 图 3-14 所 示 ， 某 公司 有 两 个 部 门 ， 每 个 部 门 100 台 计 算 机 ， 通 过 交换 机 连接 ， 组 成 


局 域 网 ， 通 过 路 由 器 连接 Intemet。 这 两 个 部 门 的 200 台 计算 机 使 用 192.168.0.0 C 类 网 络 ， 
该 网 段 的 子 网 掩 码 为 255.255.255.0, 连接 局 域 网 的 路 由 器 接口 配置 使 用 该 网 段 的 第 一 个 可 用 
的 下 地 址 192.168.0.1。 


虽然 路 由 器 可 以 使 用 该 网 段 的 任何 可 用 的 也 地 址 ， 但 为 了 避免 该 网 段 计 算 机 地 


址 和 路 由 器 地 址 冲突 ， 一 般 将 路 由 器 设置 为 该 网 段 的 第 一 个 可 用 的 IP 地址 或 最 
后 一 个 可 用 的 IP 地址。 


Internet 


192.168.0.0255.255:255:0 


全 图 3-14 一 个 网 段 的 情况 


为 了 安全 考虑 ， 你 打算 将 这 两 个 部 门 的 计算 机 分 为 两 个 网 段 ， 中 间 使 用 路 由 器 隔 开 。 计 


算 机 数量 没有 增加 ， 还 是 200 台 ， 因 此 使 用 一 个 C 类 地 址 ，IP 地 址 是 足够 用 的 。 现 在 将 
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如 图 3-14 所 示 ， 将 卫 地 
址 最 后 一 个 字 节 写成 二 进 制 
形式 , 子 网 掩 码 使 用 两 种 方式 
表示 : 二 进 制 和 十 进 制 。 子 网 。 B 了 网 
掩 码 的 位 数 往 右 移 一 位 ， 这 样 
人 P 地 最 后 一 个 字 节 的 第 8 位 ， 了 苇 四 
就 变 成 网 络 位 ， 该 位 为 0 是 A 了 同一 玛 
子 网 ， 该 位 为 1 是 B 子 网 。 

如 图 3-15 所 示 ， 卫 地 址 
的 最 后 一 个 字 节 ， 其 值 在 0 一 
127 之 间 的 ， 第 8 位 均 为 0; 每 个 子 网 是 原来 的 去 ， 子 网 抢 码 往 后 移 一 位 
其 值 在 128 一 255 之 间 的 ,第 8 A 图 3-15 等 分 为 两 个 子 网 
位 均 为 1。 分 成 A、B 两 个 子 
网 ， 以 128 为 界 。 


每 个 子 网 是 原来 的 二 ， 子 网 拓 码 往 右 移 1 位 。 


127 主 机 
位 全 为 1 


0 。 A 子 网 第 8 位 为 0 ”127128 。。 B 子 网 第 8 位 为 1 。 255 


A 和 B 两 个 子 网 的 子 网 掩 码 都 为 255.255.255.128。 

A 子 网 可 用 的 地 址 范围 为 192.168.0.1 一 192.168.0.126, IP 地 址 192.168.0.0 由 于 主机 位 全 
为 0， 不 能 分 配给 计算 机 使 用 ，192.168.0.127 由 于 其 主机 位 全 为 1， 不 能 分 配 计算 机 。 

B 子 网 可 用 的 地 址 范围 192.168.0.129 一 192.168.0.254, IP 地 址 192.168.0.128 由 于 主机 位 
全 为 0， 不 能 分 配给 计算 机 使 用 ，IP 地 址 192.168.0.255 由 于 其 主机 位 全 为 1， 不 能 分 配给 计 
算 机 。 

划分 两 个 子 网 后 网 络 规划 如 图 3-16 所 示 。 


(Internet | 
\ J 


2 4 | 192.168.0.128 2552552555259 | 


全 图 3-16 划分 子 网 后 的 地 址 规划 
2. 等 分 成 4 个 子 网 


假如 公司 有 4 个 部 门 ， 每 个 部 门 有 50 台 计 算 机 ， 现 在 使 用 192.168.0.0/24 这 个 C 类 网 
段 ， 从 安全 考虑 你 打算 每 个 部 门 的 计算 机 放置 到 独立 的 网 段 ， 这 就 要 求 你 将 192.168.0.0/24 
这 个 C 类 网 络 划 分 为 4 个 网 段 ， 如 何 划分 子 网 呢 ? 
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如 图 3-17 所 示 , 将 192.168.0.0/24 网 段 的 瑟 地 址 的 最 后 一 个 字 节 写成 二 进 制 ， 要 想 分 
成 4 个 网 段 ， 你 需要 将 子 网 掩 码 往 第 8 位 第 7 位 
右 移动 两 位 ， 这 样 第 7 位 和 第 8 位 ~ 
就 变 为 网 络 位 。 你 就 可 以 分 成 4 个 A 了" 
子 网 ， 第 8 位 和 第 7 位 为 00 是 A B 子 网 


子 网 ，01 是 BB 子 网 ，10 是 C 子 网 ， Cz 网 

11 是 D 子 网 。 1 
六 i 1 D 子 网 
每 个 了 网 是 原来 的 了 X 二 ， 即 失色 


两 个 了 ， 子 网 捧 公 往 右 移 两 位 。 


A、B、C、D 子 网 的 子 网 掩 码 
都 为 255.255.255.192。 


0 A 了 网 64 B 子 网 
每 个 子 网 是 原来 的 支 培 ， 子 网 掩 码 往 右 移 两 位 。 
A 图 3-17 等 分 为 4 个 子 网 
A 子 网 的 可 用 的 开始 地 址 和 结束 地 址 为 192.168.0.1 一 192.168.0.62; 
B 子 网 的 可 用 的 开始 地 址 和 结束 地 址 为 192.168.0.65 一 192.168.0.126; 
C 子 网 的 可 用 的 开始 地 址 和 结束 地 址 为 192.168.0.129 一 192.168.0.190; 
D 子 网 的 可 用 的 开始 地 址 和 结束 地 址 为 192.168.0.193 一 192.168.0.254。 


128 CI 网 192 D 了 网 255 


汪 每 个 子 网 的 最 后 一 个 地 址 都 是 本 子 网 的 广播 地 址 ， 不 能 分 配给 计算 机 使 用 ,如 图 


3-16 所 示 的 A 子 网 的 63、B 子 网 的 127、C 子 网 的 191 和 了 D 子 网 的 255。 


3. 等 分 为 8 个 子 网 

如 果 想 把 一 个 C 类 网 络 等 分 成 8 个 子 网 ， 如 图 3-17 所 示 ， 子 网 掩 码 需 要 往 右 移 3 位 。 
才能 划分 出 8 个 子 网 ， 第 8 位 、 第 7 位 和 第 6 位 都 变 成 网 络 位 。 

每 个 子 网 的 子 网 掩 码 都 一 样 ， 为 255.255.255.224。 

A 子 网 可 用 的 开始 地 址 和 结束 地 址 为 192.168.0.1 一 192.168.0.30; 

B 子 网 可 用 的 开始 地 址 和 结束 地 址 为 192.168.0.33 一 192.168.0.62; 

C 子 网 可 用 的 开始 地 址 和 结束 地 址 为 192.168.0.65 一 192.168.0.94; 

D 子 网 可 用 的 开始 地 址 和 结束 地 址 为 192.168.0.97 一 192.168.0.126; 

王子 网 可 用 的 开始 地 址 和 结束 地 址 为 192.168.0.129 一 192.168.0.158; 

E 子 网 可 用 的 开始 地 址 和 结束 地 址 为 192.168.0.161 一 192.168.0.190; 

G 子 网 可 用 的 开始 地 址 和 结束 地 址 为 192.168.0.193 一 192.168.0.222; 

瑟 子 网 可 用 的 开始 地 址 和 结束 地 址 为 192.168.0.225 一 192.168.0.254。 


每 个 子 网 能 用 的 主机 也 地 址 ,都 要 去 掉 主 机 位 全 0 和 主机 位 全 1 的 地 址 .如 图 3-18 


所 示 ，32、64、96、128、160、192、224、255 都 是 相应 子 网 的 广播 地 址 。 
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0 32 64 96 128 160 192 224 255 
每 个 于 网 是 原来 的 x 二 x 圭 ， 子 网 撞 码 往 后 移 3 位 。 科 了 几 次 二, 子 网 接 码 往 右 移 几 位. 


A 图 3-18 等 分 为 8 个 子 网 
每 个 子 网 是 原来 的 也 了 X 清 ， 即 3 个 了 ， 子 网 拖 码 往 右 移 3 位。 


确定 子 网 掩 码 : 子 网 掩 码 往 右 移 1 位 ， 就 将 原来 的 网 段 分 成 两 个 子 网 ; 子 网 掩 


码 往 右 移 两 位 ， 将 原来 的 网 段 分 成 4 个 子 网 ; 子 网 掩 码 往 右 移 3 位 ， 就 等 分 成 8 
个 子 网 。 以 此 类 推 ， 子 网 掩 码 往 右 移 4 位 ， 等 分 成 16 个 子 网 。 


确定 每 个 子 网 可 用 的 地 址 : 主机 位 全 0 和 全 1 的 不 能 用 。 
3.2.4 判断 IP 地 址 所 属 的 网 段 


以 上 学 习 了 将 一 个 C 类 网 络 等 分 成 2、4、8 个 子 网 的 方法 ， 并 找到 了 规律 。 下 面 将 会 练 
习 根 据 子 网 掩 码 断 定 下 地 址 所 属 的 子 网 。 


例 判断 192.168.0.101/27 所 属 的 子 网 。 


方法 就 是 将 人 P 地 址 和 子 网 掩 码 做 与 
运算 ， 得 到 的 就 是 所 属 的 子 网 ， 即 主机 位 。 192.168.0.101/27 


归 0 就 是 所 属 的 子 网 。 101 
该 地 址 为 C 类 地 址 ， 默 认 子 网 掩 码 0 32 64 96 128 160 192 224 255 


为 24 位 ， 现 在 是 27 位 。 子 网 掩 码 往 右 。 主机 地 址 : 192.168.0.101 
移 了 3 位 ， 根 据 以 上 总 结 的 规律 ， 每 个 ”主机 地 址 : 11000000 10101000 00000000 01100101 
网 是 原来 的 了 xx 1 即将 这 个 C。 :0 TN TO nioo 


子 网 地 址 :11000000 10101000 00000000 01100000 
子 网 地 址 : ”192.168.0.96 主 委 
全 图 3-19 判断 地 址 所 属 子 网 (1) 


类 网 络 等 分 成 8 个 子 网 。 如 图 3-19 所 示 ， 
101 所 处 的 位 置 位 于 96 一 128 之 间 , 主机 
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位 归 0 后 等 于 96。 


因此 该 地 址 所 属 的 子 网 是 192.168.0.96。 


， 判断 192.168.0.101/26 所 属 的 子 网 


该 地 址 为 C 类 地 址 ， 上 默认 子 网 掩 码 为 
24 位 , 现在 是 26 位 。 子 网 掩 码 往 右 移 了 两 
位 ， 根 据 以 上 总 结 的 规律 ， 每 个 子 网 是 原 
来 的 了 X 了， 将 这 个 C 类 网 络 等 分 成 了 4 


个 子 网 。 如 图 3-20 所 示 ，101 所 处 的 位 置 
位 于 64 一 128 之 间 , 主机 位 归 0 后 等 于 64。 
因此 该 地 址 所 属 的 子 网 是 192.168.0.64/26。 


192.168.0.101/26 


: 192.168.0.101 
11000000 10101000 00000000 01100101 


: 11111111 11111111 11111111 11000000 


11000000 10101000 00000000 01000000 
192.168.0.64 主机 位 归 零 


全 图 3-20 判断 地 址 所 属 子 网 (2) 


卫 地 址 范围 192.168.0.0 一 192.168.0.63 都 属于 192.168.0.0/26 子 网 。 

卫 地 址 范围 192.168.0.64 一 192.168.0.127 都 属于 192.168.0.64/26 子 网 。 
IP 地 址 范围 192.168.0.128 一 192.168.0.191 都 属于 192.168.0.128/26 子 网 。 
卫 地 址 范围 192.168.0.192 一 192.168.0.255 都 属于 192.168.0.192/26 子 网 。 


这 个 范围 的 地 址 属于 0 子 网 


这 个 范围 的 地 址 属于 64 于 网 
这 个 范围 的 地 址 属于 128 子 网 


这 个 范围 的 地 址 属于 192 子 网 
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全 图 3-21 断定 IP 地 址 所 属 子 网 


3.2.5 A 类 网 络 子 网 划分 


学 会 了 C 类 网 络 等 长 子 网 划分 ，A 类 网 
络 的 子 网 划分 也 就 会 了 ， 你 只 需 将 A 类 严 
地 址 的 第 2 个 字 节 、 第 3 个 字 节 和 第 4 个 字 
节 写 成 二 进 制 ， 根 据 划分 的 子 网 数量 ， 确 定 
往 右 移动 几 位 子 网 掩 码 。 比 如 将 122.0.0.0/8 A 
类 网 络 划分 成 两 个 子 网 ， 如 图 3-22 所 示 。 

A 和 B 两 个 子 网 的 子 网 掩 码 为 
255.128.0.0。 

A 子 网 可 用 的 地 址 范围 122.0.0.1 一 


第 1 个 六 他 第 6ft 第 2 人 字 节 第 3 个 字 节 。 第 4 个 字 节 


0 A 于 网 第 8 位 为 0 255 


全 图 3-22 A 类 网 络 划分 为 两 个 子 网 


128 。 B 子 网 第 8 位 为 1 
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B 子 网 可 用 的 地 址 范围 122.128.0.1 一 122.255.255.254。 

举一反三 ，B 类 地 址 的 子 网 划分 ， 你 只 需 将 P 地 址 的 第 3 个 字 节 和 第 4 个 字 节 写成 二 
进 制 ， 根据 划分 的 子 网 数量 ， 先 确定 往 右 移 动 几 位 子 网 掩 码 ， 然 后 确定 每 个 子 网 可 用 的 地 址 
范围 。 


功 天 对 变 长 子 网 划分 


以 上 讲述 的 都 是 等 长 子 网 划分 ， 即 将 一 个 网 络 等 分 为 两 个 子 网 、4 个 子 网 或 8 个 子 网 。 
如 果 每 个 子 网 中 的 计算 机 数量 不 一 样 多 ， 就 需要 变 长 子 网 划分 。 下 面 就 讲述 变 长 子 网 划分 。 


3.3.1 示例 : 变 长 子 网 划分 


如 果 你 的 公司 有 3 个 部 门 ， 如 图 3-23 所 
示 ， 市 场 部 有 100 台 计 算 机 ， 财 务 部 有 50 台 a | 
计算 机 ， 研 发 部 有 20 台 计 算 机 。 现 在 你 的 网 
络 使 用 一 个 C 类 网 络 192.168.0.0/24。 为 了 安 
全 考虑 , 你 打算 一 个 部 门 的 计算 机 分 配 一 个 网 
段 。 每 个 网 段 的 计算 机 数量 不 一 样 多 ， 这 就 要 


求 你 将 现 有 的 C 类 网 络 划分 成 3 个 不 等 长 的 子 。 “i Hy We 
网 ， 同 时 ， 路 由 器 RouterA 和 RouterB 之 间 的 20 台 计算 机 50 台 计算 机 
连接 是 一 个 网 段 D, 路 由 器 RouterB 和 RouterC A 图 3-23 变 长 子 网 应 用 场景 


之 间 的 连接 是 一 个 网 段 E。D 和 下 网 段 就 两 个 
结 点 ， 因 此 需要 两 个 全 地址。 在 子 网 划分 时 需要 考虑 这 两 个 子 网 。 
确定 每 个 子 网 的 子 网 
掩 码 、 开 始 地 址 和 结束 地 址 。 
划分 子 网 的 过 程 如 下 。 
如 图 3-24 所 示 , 画 一 条 
直线 , 代表 C 类 网 络 的 最 后 
一 位 下 地 址 范围 ,起 点 为 0， 
终点 为 255。 将 该 直线 二 等 
分 ,分 为 0 一 127 和 128 一 255 
两 部 分 , 再 将 0 一 127 进行 二 


>: 
等 分 ,分 为 0~63 和 64 一 127 和 清润 Ea 5 
两 部 分 ， 再 将 0 一 63 进行 二 ee 2 | 0 | Ed 
等 分 , 分 为 0 一 31 和 32 一 63 A 于 疯 20 台 。 。 B 于 网 50 台 C 子 网 100 台 
两 部 分 。 全 图 3-24 ” 变 长 子 网 地 址 范围 
将 市 场 部 的 100 台 计 算 
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机 的 下 地 址 指定 到 128 一 255 这 个 地 址 范围 。 该 范围 是 0 一 255 的 ， 按 照 以 上 等 长 子 网 划 


分 过 程 得 到 的 规律 ,是 1 人 , 子 网 掩 码 往 右 移 1 位 。 即 该 子 网 的 子 网 掩 码 为 255.255.255.128， 


可 用 的 地 址 范围 为 192.168.0.129 一 192.168.0.254。 
财务 部 的 50 台 计 算 机 ， 使 用 64 一 127 这 个 范围 ,该 范围 是 0 一 255 的 二 ， 按照 以 上 等 长 


子 网 划分 得 到 的 规律 ， 是 两 个 ， 了 网 掩 码 往 右 移 两 位 。 即 该 子 网 的 子 网 掩 码 为 
255.255.255.192， 可 用 的 地 址 范围 为 192.168.0.65 一 192.168.0.126。 

研发 部 的 20 台 计算 机 ， 使 用 32 一 63 这 个 地 址 范围 ， 该 范围 是 0 一 255 的 二 ， 按照 以 上 
等 长 子 网 划分 得 到 的 规律 ， 是 3 个， 子 网 掩 码 往 右 移 3 位 。 即 该 子 网 的 子 网 掩 码 为 
255.255.255.224， 可 用 的 地 址 范围 为 192.168.0.33 一 192.168.0.62。 

D 子 网 和 了 子 网 ， 就 需要 两 个 卫 地 址 ，D 子 网 使 用 0 一 3 这 个 子 网 ，E 子 网 使 用 4 一 7 
子 网 。 该 范围 是 0 一 255 的 二 ， 按照 以 上 等 长 子 网 划分 得 到 的 规律 ， 是 6 人 3， 子 网 掩 码 往 
右 移 6 位 。 即 D 和 EE 子 网 的 子 网 掩 码 为 255.255.255.252, D 子 网 的 可 用 地 址 为 192.168.0.1 一 
192.168.0.2，E 子 网 的 可 用 地 址 为 192.168.0.5 一 192.168.0.6。 


3.3.2 超 网 


如 图 3-24 所 示 ， 某 
企业 有 一 个 网 段 ， 该 网 
段 有 200 台 计 算 机 ， 使 


Internet 
用 192.168.0.0255.255. Er 
255.0 网 段 。 后 来 计 / 
算 机 数量 增加 到 400 台 
件 的 应 用 ， 
广播 软件 不 能 跨 网 段 ， 
这 些 计 算 机 必须 在 同一 
个 网 段 。 
在 该 网 络 中 添加 交 全 图 3-25 两 个 网 县 的 地 址 


换 机 ， 可 以 扩展 该 网 段 
的 规模 ，IP 地 址 不 够 用 ， 再 添加 一 个 C 类 地 址 192.168.1.0 一 255.255.255.0。 这 些 计 算 机 物理 
上 在 一 个 网 段 ， 但 是 人 P 地 址 没 在 一 个 网 段 ， 即 逻辑 上 不 在 一 个 网 段 。 如 果 想 让 这 些 计算 机 
能 够 通信 ， 可 以 在 路 由 器 的 接口 添加 这 两 个 C 类 网 络 的 地 址 作为 这 两 个 子 网 的 网 关 。 

在 这 种 情况 下 ，A 计算 机 到 B 计算 机 进行 通信 ， 必 须 通过 路 由 器 转发 ， 如 图 3-25 所 
示 ， 这 样 两 个 子 网 才能 够 通信 。 本 来 这 些 计算 机 物理 上 在 一 个 网 段 ， 还 需要 路 由 器 转发 ， 
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效率 不 高 。 

有 没有 更 好 的 办 法 ， 让 两 个 子 网 认为 计算 机 在 一 个 网 段 ? 

如 图 3-26 所 示 ， 将 192.168.0.0 和 192.168.1.0 两 个 C 类 网 络 合并 。 将 瑟 地 址 第 3 个 字 
节 和 第 4 个 字 节 写成 二 进 制 ， 可 以 看 到 将 子 网 掩 码 往 左 移 动 1 位 ， 网 络 部 分 就 一 样 了 ， 这 两 
个 网 段 就 在 一 个 网 段 了 。 


合并 两 个 网 段 
192.168.0.0 255.255.255.0 
192.168.1.0 255.255.255.0 


全 图 3-26 合并 两 个 网 段 
合并 后 的 网 段子 网 掩 码 为 255.255.254.0， 可 用 地 址 为 192.168.0.1 一 192.168.1.254， 耳 地 


址 的 配置 如 图 3-27 所 示 。 


192.168.0.0255:2552540 


| Internet ， 


全 图 3-27 合并 后 的 地 址 配置 


3.3.3 ”合并 网 络 的 规律 


以 上 讲 了 合并 两 个 C 类 网 络 192.168.0.0 255.255.255.0 和 192.168.1.0 255.255.255.0 子 网 
掩 码 往 左 移 1 位 ， 可 以 合并 为 192.168.0.0 255.255.254.0。 下 面 深入 讲解 合并 子 网 的 过 程 。 

如 图 3-28 所 示 ，192.168.2.0 255.255.255.0 和 192.168.3.0 255.255.255.0 子 网 掩 码 往 左 移 
1 位， 也 可 以 合并 为 一 个 网 段 192.168.2.0 255.255.254.0。 


192.168.2.0 255.255.255.0 
192.168.3.0 255.255.255.0 


全 图 3-28 合并 两 个 C 类 网 络 
合并 两 个 网 段 , 需要 向 左 移动 1 位 子 网 掩 码 , 但 是 并 不 是 随便 两 个 连 着 的 子 网 都 能 移动 
1 位子 网 掩 码 被 合并 。 比 如 ， 不 能 通过 向 左 移 动 1 位 子 网 掩 码 将 192.168.1.0 255.255.255.0 和 


192.168.2.0 255.255.255.0 网 段 合 并 。 如 图 3-29 所 示 ， 子 网 掩 码 往 左 移 1 位 ， 网 络 部 分 还 是 
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不 一 样 。 


192.168.1.0 255.255.255.0 
192.168.2.0 255.255.255.0 


全 图 3-29 子 网 掩 码 不 能 向 左 移动 1 位 而 合并 

合并 四 个 网 段 192.168.0.0 255.255.255.0 、 192.168.1.0 255.255.255.0 、 192.168.2.0 
255.255.255.0、192.168.3.0 255.255.255.0， 以 下 简称 这 4 个 网 段 为 0 网 段 、1 网 段 、2 网 段 、 

3 网 段 。 如 图 3-30 所 示 ， 需 要 子 网 掩 码 向 左 移动 两 位 。 

合并 四 个 网 段 

192.168.0.0 255.255.255.0 
192.168.1.0 255.255.255.0 
192.168.2.0 255.255.255.0 
192.168.3.0 255.255.255.0 


全 图 3-30 合并 4 个 网 段 
得 出 结论 ， 向 左 移动 1 位 子 网 掩 码 可 以 合并 0、1 网 络 ， 6 
也 可 以 合并 2、3 网 络 , 也 可 以 合并 4、5 网 络 , 也 可 以 合并 6、 1 > 
7 网 络 。 通 过 向 左 移动 两 位 子 网 掩 码 可 以 将 连续 的 0、1、2、3 2 > 
网 络 合并 成 一 个 网 络 ， 也 可 将 连续 的 4、5、6、7 网 络 合并 成 3 
一 个 网 络 。 通 过 向 左 移动 3 位 子 网 掩 码 ， 可 以 将 0、1、2、3、 4 > 
4、5、6、7 网 络 合并 成 一 个 网 络 ， 如 图 3-31 所 示 。 5 > 
> 
和 


全 图 3-31 合并 网 络 的 规律 


192.168.178.0 255.255.255.0 和 192.168.179.0 255.255.255.0 两 个 网 络 是 否 能 够 
通过 向 左 移 动 1 位 子 网 掩 码 合并 成 一 个 网 段 ? 您 也 许 不 能 一 下 子 就 知道 是 否 可 
以 合并 ， 现 在 介绍 一 种 方法 ，178 除 以 4 余数 是 2，179 除 以 4 余数 是 3, 根据 上 
面 的 介绍 ，2 和 3 网 络 是 可 以 通过 子 网 掩 码 向 左 移 1 位 ,合并 成 一 个 网 络 。 因 此 
这 两 个 子 网 是 可 以 合并 为 192.168.178.0 255.255.254.0。 

192.168.181.0 255.255.255.0 和 192.168.182.0 255.255.255.0 两 个 网 络 是 否 可 以 通 


过 向 左 移动 1 位 子 网 掩 码 进行 合并 ?将 181 除 以 4 余数 是 1，182 除 以 4 余数 是 
2, 根据 上 面 的 介绍 ,1、2 网 段 不 能 通过 向 左 移动 1 位 子 网 掩 码 合并 成 一 个 网 段 。 


192.168.156.0 192.168.157.0 192.168.158.0 192.168.159.0 这 四 个 C 类 网 络 是 否 可 
以 通过 将 子 网 掩 码 向 左 移动 两 位 进行 合并 ? 现在 就 不 能 除 以 4 了 , 将 156 除 以 8 
余数 为 4，157 除 以 8 余数 为 5，158 除 以 8 余数 为 6，159 除 以 8 余数 为 7， 根 
据 上 面 的 介绍 ，4、5、6、7 是 可 以 通过 子 网 掩 码 向 左 移动 两 位 合并 的 。 
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1. 根据 图 3-32 网 络 拓扑 和 网 络 中 的 主机 数量 ， 将 相应 的 瑟 地 址 拖 忠 到 相应 的 位 置 。 


192.168.201.167/29 


192.168,201.196/28 


192.168.201.131/27 


192.168.201.235/26 
192.168.201.168/30 
192.168.201.169/30 


图 3-32 网 络 拓扑 
2. 以 下 地 址 属于 115.64.4.0/22 网 段 。 (选择 3 个 答案 ) 
A. 115.64.8.32 
B. 115.64.7.64 
C. 115.64.6.255 
D. 115.64.3.255 
E. 115.64.5.128 
F. 115.64.12.128 
3 子 网 被 包含 在 172.31.80.0/20 网 络 。 (选择 两 个 答案 ) 
A. 172.31.17.4/30 
B. 172.31.51.16/30 
C. 172.31.64.0/18 
D. 172.31.80.0/22 
E. 172.31.92.0/22 
F. 172.31.192.0/18 
4. 某 公 司 设计 网 络 , 需要 300 个 子 网 ， 每 个 子 网 的 数量 最 多 为 50 个 主机 , 将 一 个 B 类 
网 络 进行 子 网 划分 ， 下 面 子 网 掩 码 可 以 上 
A. 255.255.255.0 
B. 255.255.255.128 
C. 255.255.252.0 
D. 255.255.255.224 
E. 255.255.255.192 
F. 255.255.248.0 
5. 网 段 172.25.0.0 被 分 成 8 个 等 长 子 网 ， 下 面 地 址 属于 第 三 个 子 网 。 (选择 3 
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6. 根据 图 3-33 所 示 ， 以 下 


个 若 案 》 

A. 172.25.78.243 

B. 172.25.98.16 

C 12570 

D. 172.25.94.255 

E. 172.25.96.17 

F. 172.25.100.16 

网 段 能 够 指派 给 网 络 A 和 链 路 A。 


网 络 A 链 路 A 
120 个 主机 


172.16.3.32/27 172.16.3.64/27 172.16.3.96/27 
图 3-33 ”网络 拓扑 
A. 网 络 A 一 一 172.16.3.48/26 
B. 网 络 A 一 一 172.16.3.128/25 
C. 网 络 A 一 一 172.16.3.192/26 
D. 链 路 A 一 一 172.16.3.0/30 
E. 链 路 A 一 一 172.16.3.40/30 
F. 链 路 A 一 一 172.16.3.112/30 
7.IP 地 址 中 的 网 络 号 部 分 用 来 识别 
A. 路 由 器 
B. 主机 
C. 网 卡 
D. 网 段 
8. 以 下 网 络 地 址 中 属于 私 网 地 址 的 是 
A. 192.178.32.0 
B. 128.168.32.0 
C172.15320 
D. 192.168.32.0 
9. 网 络 122.21.136.0/22 中 最 多 可 用 的 主机 地 址 是 a 
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A. 1024 
B. 1023 
C. 1022 
D. 1000 
10. 主机 地 址 192.15.2.160 所 在 的 网 络 是 站 
A. 192.15.2.64/26 
B. 192.15.2.128/26 
C. 192.15.2.96/26 
D. 192.15.2.192/26 
11. 某 公 司 的 网 络 地 址 为 192.168.1.0， 要 划分 成 5 个 子 网 ， 每 个 子 网 最 多 20 台 主 机 ， 
则 适用 的 子 网 掩 码 是 。 
A. 255.255.255.192 
B. 255.255.255.240 
C. 255.255.255.224 
D. 255.255.255.248 
12. 某 端口 的 瑟 地 址 为 202.16.7.131/26 ， 则 该 人 地 址 所 在 网 络 的 广播 地 址 
A. 202.16.7.255 
B. 202.16.7.129 
C. 202.16.7.191 
D. 202.16.7.252 
13. 在 IPv4 中 ， 组 播 地 址 是 地 址 。 
A.A 类 
B.B 类 
C.C 类 
D.D 类 
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192.168.201.196/28 


2.BCE 
3.DE 
4.BE 
5.ACD 
6.BD 
7.D 
8.D 
ee 
10.B 
11.C 
12. C 
13.D 
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第 4 章 Cisco IOS 


Cisco 的 网 际 操作 系统 IOS (Internet Operation System Software) 是 一 个 为 网 际 互联 优化 
的 复杂 的 操作 系统 。IOS 是 一 个 与 硬件 分 离 的 软件 体系 结构 ， 随 着 网 络 技术 的 不 断 发 展 ， 可 
动态 地 升级 以 适应 不 断 变化 的 技术 《硬件 和 软件 )。IOS 可 以 被 视 作 一 个 网 际 互联 中 枢 : 
个 高 度 智 能 的 管理 员 ， 负 责 管理 和 控制 复杂 的 分 布 式 网 络 资源 ， 它 允许 你 配置 这 些 设备 使 其 


正常 工作 。 


在 本 章 中 ， 将 会 讲述 如 何 使 用 Packet Tracer 软件 ， 并 搭建 本 书 的 实验 环境 ， 然 后 在 这 个 


网 络 环境 中 进行 路 由 器 的 常规 配置 来 熟悉 Cisco 命令 行 界面 。 


当 完 全 熟悉 了 这 个 界面 后 ， 你 


将 能 够 配置 主机 名 、 口 令 和 其 他 更 多 的 内 容 ， 并 且 通 过 使 用 Cisco IOS 来 进行 排 错 。 
本 章 将 带 你 快速 地 领略 路 由 器 的 配置 以 及 命令 的 使 用 等 主要 而 基本 的 内 容 。 


本 章 主要 内 容 : 
”理解 并 配置 Cisco 互联 网 络 操作 系统 (IOS) “ 
" ”连接 到 路 由 器 . 
= 启动 路 由 器 3 
" ”登录 到 路 由 器 本 


“理解 路 由 器 的 提示 符 
= “理解 CLI 提示 符 

， “使 用 编辑 和 帮助 功能 
”获得 基本 的 路 由 信息 
a “设置 主机 名 

" “设置 口令 


完成 接口 配置 

查看 保存 并 删除 路 由 器 的 配置 
验证 路 由 选择 配置 

使 用 帮助 功能 
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Cisco 的 IOS 是 一 个 可 以 提供 路 由 、 交 换 、 网 络 互联 以 及 远程 通信 功能 的 专 有 内 核 。 第 
一 版 IOS 是 由 William Yeager 在 1986 编写 的 ， 它 推动 了 网 络 应 用 的 发 展 。Cisco 的 IOS 运 
行 在 绝 大 多 数 的 Cisco 路 由 器 上 , 以 及 数量 在 不 断 增加 的 Cisco Catalyst 交换 机 上 , 如 Catalyst 
的 2950/2960 和 3550/3560 系列 的 交换 机 。 

Cisco 路 由 器 的 IOS 软件 将 负责 完成 一 些 重要 的 工作 ， 包 括 : 

”加载 网 络 协议 和 功能 。 

" ”在 设备 间 连 接 高 速 流量 。 

" ”在 控制 访问 中 添加 安全 性 ， 防 止 未 授权 的 网 络 使 用 。 

a ”为 简化 网 络 的 增长 和 宛 余 备 份 提供 可 缩放 性 。 

”为 连接 到 网 络 中 的 资源 提供 网 络 的 可 靠 性 。 

可 以 通过 路 由 器 的 控制 台 接口 、Modem 的 辅助 端口 ， 甚 至 Telnet 来 访问 Cisco IOS。 通 
常 ， 将 访问 IOS 命令 行 的 操作 称 为 EXEC (执行 ) 会 话 。 


4.1.1 Cisco 路 由 器 的 硬件 分 类 
1， 从 结构 上 分 类 


Cisco 路 由 器 从 结构 上 分 为 “模块 化 路 由 器 ”和 “ 非 模块 化 路 由 器 ”。 模 块 化 结构 可 以 灵 
活 地 进行 路 由 器 配置 , 以 适应 企业 不 断 增加 的 业务 需求 , 非 模块 化 的 就 只 能 提供 固定 的 端口 。 
通常 中 高 端 路 由 器 为 模块 化 结构 ， 低 端 路 由 器 为 非 模块 化 结构 。 

如 图 4-1 所 示 , 模块 化 路 由 器 主要 是 指 该 路 由 器 的 接口 类 型 及 部 分 扩展 功能 是 可 以 根据 
用 户 的 实际 需求 来 配置 的 路 由 器 。 这 些 路 由 器 在 出 厂 时 一 般 只 提供 最 基本 的 路 由 功能 ， 用 户 
可 以 根据 所 要 连接 的 网 络 类 型 来 选择 相应 的 模块 , 不 同 的 模块 可 以 提供 不 同 的 连接 和 管理 功 
能 。 例 如 ， 绝 大 多 数 模块 化 路 由 器 可 以 允许 用 户 选 择 网 络 接口 类 型 ， 有 些 模块 化 路 由 器 可 以 
提供 VPN 等 功能 模块 ， 有 些 模 块 化 路 由 器 还 提供 防火 墙 的 功能 ， 等 等 。 目 前 的 多 数 路 由 器 
都 是 模块 化 路 由 器 。 

如 图 4-2 所 示 ， 非 模块 化 的 就 只 能 提供 固定 的 端口 。 


10/100M 快 速 以 太 口 控制 口 辅助 口 各 I 接口 (Ethernet 口 ) 串口 控制 口 辅助 口 电源 开关 


和 后 视图 


Ea 


人 图 4-2 固定 模块 路 由 器 
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2. 按 档次 分 类 


按 性 能 档次 ， 路 由 器 分 为 高 、 中 、 低 档 路 由 器 。 

通常 将 路 由 器 吞吐 量 大 于 40Gb/s 的 路 由 器 称 为 高 档 路 由 器 ; 背 板 吞 吐 量 在 25 一 40Gb/s 
之 间 的 路 由 器 称 为 中 档 路 由 器 ， 而 将 低 于 25Gb/s 的 看 做 低档 路 由 器 。 当 然 这 只 是 一 种 宏观 
上 的 划分 标准 ,各 厂家 的 划分 标准 并 不 完全 一 致 。 实 际 上 路 由 器 档次 的 划分 不 仅 是 以 吞吐 量 
为 依据 的 ， 还 有 一 个 综合 指标 。 以 市 场 占有 率 最 大 的 Cisco 公司 为 例 ，12000 系列 为 高 端 路 
由 器 ，7500 以 下 系列 路 由 器 为 中 低 端 路 由 器 。 

3. 从 功能 上 分 类 


从 功能 上 划分 ， 可 将 路 由 器 分 为 骨干 级 路 由 器 ， 企 业 级 路 由 器 和 接 入 级 路 由 器 。 

骨干 级 路 由 器 是 实现 企业 级 网 络 互联 的 关键 设备 ， 它 的 数据 否 叶 量 较 大 ， 非 常 重要 。 
对 骨干 级 路 由 器 的 基本 性 能 要 求 是 高 速度 和 高 可 靠 性 。 为 了 获得 高 可 靠 性 ， 网 络 系统 普遍 
采用 诸如 热 备 份 、 双 电源 、 双 数据 通路 等 传统 见 余 技术 ， 从 而 使 得 骨干 路 由 器 的 可 靠 性 一 
般 不 成 问题 。 

企业 级 路 由 器 连接 许多 终端 系统 ， 连 接 对 象 较 多 ， 但 系统 相对 简单 ， 且 数据 流量 较 小 。 
对 这 类 路 由 器 的 要 求 是 以 尽量 便宜 的 方法 实现 尽 可 能 多 的 端点 互 连 , 同时 还 要 求 能 够 支持 不 
同 的 服务 质量 。 

接 入 级 路 由 器 主要 应 用 于 连接 家 庭 或 TISP 内 的 小 型 企业 客户 群体 。 

4. 按 网 络 所 处 位 置 分 类 


按 所 处 网 络 位 置 划分 通常 把 模块 化 路 由 器 划分 为 边界 路 由 器 和 中 间 结 点 路 由 器 。 

很 明显 ， 边 界 路 由 器 是 处 于 网 络 边缘 ， 用 于 不 同 网 络 路 由 器 的 连接 ; 而 中 间 结 点 路 由 器 
则 处 于 网 络 的 中 间 ， 通 常用 于 连接 不 同 网 络 ， 起 到 一 个 数据 转发 的 桥梁 作用 。 由 于 各 自 所 处 
的 网 络 位 置 有 所 不 同 ， 其 主要 性 能 也 就 有 相应 的 侧重 ， 如 中 间 结 点 路 由 器 因为 要 面 对 各 种 各 
样 的 网 络 。 如 何 识 别 这 些 网 络 中 的 各 结 点 呢 ? 靠 的 就 是 这 些 中 间 结 点 路 由 器 的 MAC 地 址 的 
记忆 功能 。 

基于 上 述 原 因 ， 选 择 中 间 结 点 模块 化 路 由 器 时 就 需要 在 MAC 地 址 记忆 功能 方面 更 加 注 
重 ， 也 就 是 要 求 选择 缓存 更 大 、MAC 地 址 记忆 能 力 较 强 的 模块 化 路 由 器 。 但 是 边界 路 由 器 
由 于 可 能 要 同时 接收 来 自 许多 不 同 网 络 路 由 器 发 来 的 数据 ， 所 以 要 求 其 背 板 带宽 要 足够 宽 ， 
当然 这 也 要 由 它 所 处 的 网 络 环境 而 定 。 

5. 从 性 能 上 分 类 


从 性 能 上 划分 ， 可 将 路 由 器 分 为 线 速 路 由 器 和 非 线 速 路 由 器 。 

所 谓 线 速 路 由 器 ， 就 是 完全 可 以 按 传 输 介质 带宽 进行 通畅 传输 ， 基 本 上 没有 间断 和 延 时 。 
通常 线 速 路 由 器 是 高 端 路 由 器 ， 具 有 非常 高 的 端口 带宽 和 数据 转发 能 力 ， 能 以 媒体 速率 转发 数 
据 包 ; 中 低 端 路 由 器 是 非 线 速 路 由 器 。 但 是 一 些 新 的 宽带 接 入 路 由 器 也 有 线 速 转发 能 力 。 


4.1.2 Cisco 路 由 器 的 主要 组 件 
在 Cisco 路 由 器 内 部 有 如 下 一 些 组 件 ， 如 图 4-3 所 示 。 
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全 图 4-3 路 由 器 的 主要 组 件 
Flash: 路 由 器 用 于 保存 Cisco 的 IOS。 当 路 由 器 重新 加 载 时 并 不 擦 除 闪存 中 的 内 容 。 
它 是 一 种 由 Inteld 开发 的 EEPROM ( 电 可 擦 除 只 读 存 储 器 ) 。 只 要 有 足够 的 空间 ， 
闪存 中 就 可 以 容纳 多 个 操作 系统 镜像 。 
RAM (随机 存 取 存 储 器 ) : 用 于 保存 数据 包 缓冲 、ARP 高 速 缓存 、 路 由 表 ， 以 及 
路 由 器 运行 所 需 的 软件 和 数据 结构 。Running-config 文件 存储 在 RAM 中 ， 并 且 有 
些 路 由 器 也 可 以 从 RAM 运行 IOS。RAM 中 的 所 有 内 容 ， 包 括 运行 配置 文件 都 在 
断 电 后 被 清除 。 
ROM: ROM 用 来 存储 Bootstrap、 开 机 自 检 程 序 (POST) 、ROM 监控 程序 、 微 型 
IOS。 
CPU: 不 同 于 PC 上 常用 的 Intel 和 AMD 两 大 厂家 的 产品 。 
NVRAM: 非 易 失 性 存储 器 ， 用 于 保存 路 由 器 和 交换 机 配置 。 还 可 以 存储 启动 配置 
(startup-config) 文件 。 当 路 由 器 或 交换 机 重新 加 载 时 并 不 擦 除 NVRAM 中 的 内 容 。 
NVRAM 中 未 存储 IOS，Configuration Register (配置 寄存 器 ) 存储 在 NVRAM 中 。 
Interface: 外 部 可 见 的 各 类 接口 ， 如 串口 〈Serial) 、 以 太 网 接口 (Ethernet) 、 快 
速 以 太 网 接口 (FastEthernet) 等 ， 用 于 连接 局 域 网 和 广域网 。 


下 面 介绍 存储 在 ROM 中 的 Bootstrap、POST、ROM 监控 程序 ,微型 IOS 以 及 Configuration 
Register (配置 寄存 器 ) 的 作用 。 


Bootstrap: 用 于 在 初始 化 阶段 启动 路 由 器 ， 然 后 装 入 IOS。 

POST: 是 存储 在 ROM 中 的 微 代码 ， 用 于 检测 路 由 器 硬件 的 基本 功能 并 确定 哪些 
接口 当前 可 用 。 

ROM 监控 程序 : 是 存储 在 ROM 中 的 微 代码 ， 用 于 手动 测试 和 故障 诊断 。 

微型 IOS: 是 一 个 在 ROM 中 可 以 启动 接口 并 将 Cisco IOS 加 载 到 闪存 中 的 小 型 IOS。 
它 也 可 以 执行 一 些 其 他 的 维护 操作 ， 比 如 你 误 删 除了 Flash 中 完整 的 IOS， 利 用 这 
个 微型 的 IOS 可 以 将 完整 的 IOS 再 次 拷贝 到 Flash， 即 安装 操作 系统 。 
Configuration Register: 配置 寄存 器 ， 用 于 控制 路 由 器 如 何 启动 。 配 置 寄存 器 的 值 
可 以 在 show version 命令 输出 结果 的 最 后 一 行 中 找到 ， 通 常 为 0x2102， 这 个 值 意 
味 着 路 由 器 从 闪存 加 载 IOS， 并 告诉 路 由 器 从 NVRAM 调用 配置 。 
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4.1.3 ”路 由 器 IOS 命名 


Cisco 路 由 器 IOS 命名 规范 : AAAAA-BBBB-CC-DDDD.EE。 下 面 介绍 各 代表 的 含义 。 


AAAAA: 这 组 字符 是 说 明文 件 所 适用 的 硬件 平台 ， 比 如 (这 里 我 们 就 不 一 一 列举 
了 ， 只 列 出 几 个 有 代表 性 的 ) : c2600 代表 2600 系列 路 由 器 ，c2800 代表 2800 系 
列 路 由 器 。 

BBBB: 这 组 字符 是 说 明 这 个 IOS 中 所 包含 的 特性 ， 这 里 介绍 几 个 常用 的 、 经 常会 
看 到 的 特性 。a 代表 Advanced Peer-to-Peer Networking (APPN) 特性 ; boot 代表 引 
导 映 像 : j 代表 企业 ; i 代表 人 P; i3 代表 简化 的 人 P; 没有 BGP、EBP、NHRP; i5d 
代表 带 有 VoFR 的 IP; k8 代表 IPSec 56; k9 代表 IPSec 3DES; o 代表 IOS 防火 墙 ; 
03 代表 带 入 侵 检 测 系统 IDS、SSH 的 防火 墙 ，s 代表 有 NAT、IBM、VPDN、VoIP 
模块 ; v5 代表 VolP; x3 代表 语音 。 

CC: 这 组 字符 是 IOS 文件 格式 。 第 一 个 “C” 指 出 映像 在 哪个 路 由 器 内 存 类 型 中 
执行 。f 代 表 Flash、 内 存 ，m 代表 RAM, r 代表 ROM。 第 二 个 “C” 说 明 如 何 进 
行 压缩 。z 代表 zip 压缩 ;x 代表 mzip 压缩 ，w 代表 stac 压缩 。 

如 果 你 正 想 把 Flash 卡 ( 闪 存 卡 》 从 一 台 路 由 器 上 拆除 ， 那 么 可 以 看 看 这 个 字符 是 
什么 。 如果 是 f, 则 软件 是 直接 从 闪存 执行 的 , 这 时 候 就 要 求 安 装 有 闪存 , 以 便 IOS 
软件 能 够 运行 ， 如 果 是 m， 那 么 路 由 器 已 经 从 Flash (闪存 ) 中 读 取 了 IOS 软件 ， 

压缩 之 后 正在 从 RAM 运行 它 。 在 路 由 器 正常 引导 起 来 以 后 ， 就 可 以 安全 地 拆除 
Flash 了 。 

DDDD : 这 组 字符 指出 IOS 软件 的 版 本 ， 表 示 IOS 软件 的 版 本 号 。 

EE: 这 个 是 IOS 文件 的 后 绥 〈.bin 或 者 .tar) 。 


“rsp-jo3sv-mz.122-1.bin”，rsp 是 硬件 平台 ( Cisco 7500 系列 )。 jo3sv 是 指 企业 级 
(j)、 带 IDS 的 防火 墙 (o3 )、 带 有 NAT/VolP 的 全 增强 (s) 以 及 通用 接口 处 理 


器 VIP (v)。mz 表 明 是 运行 在 路 由 器 的 RAM 内 存 中 ， 并 且 用 zip 压缩 。122-1 
表明 是 Cisco IOS 软件 版 本 12(2 )1, 即 主 版 本 12(2 ) 的 第 一 个 维护 版 本 。.bin 是 
这 个 IOS 软件 的 后 缓 。 


本 本 时 连接 到 路 由 器 进行 配置 


可 以 通过 连接 到 Cisco 路 由 器 来 进行 路 由 器 的 设置 、 配 置 验证 及 统计 数据 审核 。 要 做 到 


-点 可 以 有 不 同 的 方式 ， 如 图 4-4 所 示 。 


Web 页 面 。 
Telnet。 
拨号 。 
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主要 的 几 种 配置 方式 
: 1、 Hyper Terminal 

i 2、 WEB 
SS 3、TELNET 


4、 Dial 
全 图 4-4 配置 路 由 器 的 方式 

如 图 4-5 所 示 ， 通 过 路 由 器 的 Console 口 连接 路 由 器 进行 配置 ， 这 需要 在 计算 机 上 使 用 
超级 终端 软件 进行 配置 。 对 于 刚刚 购买 的 新 的 路 由 器 , 通常 使 用 超级 终端 连接 路 由 器 的 控制 
台 端口 进行 配置 。 控制 台 端口 一 般 是 一 个 RJ-45 的 连接 器 (8 针 的 模块 ), 位 于 路 由 器 的 背面 。 
在 默认 时 ， 连 接 到 这 个 端口 可 能 有 口令 要 求 ， 也 可 能 没有 口令 要 求 ; 而 新 型 的 ISR 路 由 器 在 
默认 时 使 用 Cisco 作为 用 户 名 和 口令 。 

控制 台 连 接 


RJ-45-10-08-9 or 
R45 40-DB 25 adapter | 和 9 
py 


E 


人 图 4-5 通过 Console 接口 配置 路 由 器 

你 还 可 以 通过 辅助 端口 连接 到 Cisco 路 由 器 上 ， 由 于 辅助 端口 与 控制 台 端口 基本 上 是 一 
样 的 ， 因 此 ， 你 可 以 像 使 用 控制 台 端口 一 样 使 用 它 。 但 是 ， 在 使 用 辅助 端口 前 ， 你 需要 配置 
相关 的 Modem 命令 ， 这 样 ，Modem 才 可 以 同 此 路 由 器 相互 通信 。 这 是 一 个 非常 好 的 功能 ， 
假如 有 一 台 路 由 器 出 了 问题 , 而 你 又 想 去 配置 它 , 这 个 功能 允许 你 通过 连接 到 它 的 辅助 端口 ， 
远程 拨号 到 这 个 out-ofband 〈 即 “脱离 网 络 ?) 的 路 由 器 上 。 

连接 到 Cisco 路 由 器 的 方式 是 in-band (in-band 是 指 可 以 通过 网 络 来 配置 路 由 器 ， 即 通 
过 应 用 程序 Telnet， 它 是 与 out-of-band 相对 应 的 )。Telnet 是 一 个 仿真 终端 程序 ， 它 运行 起 
来 就 像 一 个 哑 终 端 。 这样 ， 你 可 以 使 用 Telnet 连接 到 路 由 器 上 的 任何 一 个 活动 接口 上 ， 如 以 
太 网 或 串 行 端口 。 必 须 在 网 络 已 经 配置 通 之 后 ， 才 能 Telnet 路 由 器 。 
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路 由 器 还 可 以 启用 HTTP 服务 ， 允 许 用 户 通 过 Web 页 面 访问 Cisco 路 由 器 。 
4.2.1 使 用 超级 终端 配置 路 由 器 


使 用 Console 口 连 接 到 计算 机 的 COM 口 。 要 想 配置 路 由 器 ， 必 须 打 开 Windows XP 或 
Windows Server 2003 的 超级 终端 软件 。 

Windows Server 2003 默认 没有 安装 超级 终端 , 需要 安装 。 选择 “开始 ”一 “设置 ”一 “ 控 
制 面板 ”一 “添加 或 删除 程序 ”命令 ， 如 图 4-6 所 示 ， 在 出 现 的 “添加 或 删除 程序 ”窗口 中 
单 击 “ 添 加 /删除 Windows 组 件 ” 按钮， 在 出 现 的 “Windows 组 件 向 导 ” 对 话 框 中 ,选中 “ 附 
件 和 工具 ” 复 选 框 ， 单 击 “ 详 细 信息 ”按钮 。 在 出 现 的 “附件 和 工具 ”对 话 框 中 ， 选 中 “ 通 
讯 ” 复 选 框 ， 单 击 “ 详 细 信息 ”按钮 。 在 出 现 的 “通讯 ”对 话 框 中 ， 选 中 “超级 终端 ” 复 选 
框 ， 单 击 “ 确 定 ”按钮 ， 完 成 超级 终端 的 安装 。 在 安装 过 程 中 需要 插入 Windows Server 2003 


《上 一 步 @)| 下 一 步 咱 十 取消 过 


全 图 4-6 安装 超级 终端 
如 果 操作 系统 是 Windows 7 或 Vista， 系 统 没 有 自 带 的 超级 终端 软件 ， 需 要 从 Internet 
上 下 载 超级 终端 软件 ， 比 如 CRT 软件 。 
下 面 介绍 使 用 Windows 内 置 的 超级 终端 软件 配置 路 由 器 。 
(1) 选择 “开始 ”一 “程序 ”一 “附件 ”一 “通讯 ”一 “超级 终端 ”命令 。 
(2) 在 出 现 的 “位 置信 息 ” 对 话 框 中 ， 输 入 你 的 区 号 “0311”。 
(3) 在 出 现 的 “电话 和 调制 解 调 器 选项 ”对 话 框 中 ， 单 击 “ 确 定 ” 按 钮 。 
(4) 如 图 4-7 所 示 ， 在 出 现 的 “连接 描述 ”对 话 框 中 ， 输 入 名 称 “connect to Router”， 
并 且 选 中 一 个 图 标 。 
(5) 如 图 4-8 所 示 ， 在 出 现 的 “连接 到 ”对 话 框 中 ， 选 中 连接 时 使 用 的 接口 。 
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连接 描述 
Ws 新 建 连接 
输入 名 称 并 为 该 连接 选择 图 标 
名 称 0); 


[connect to Router| 连接 时 使 用 @) : |coml "| 


吉 健 十 @ 辐 鸭 | - 


图 标 [); 


连接 到 xl 
connect to Router 
出 入 竺 技 电话 的 详细 入 乞 
a 。 国家 晤 区 ) 品 ; [ 厅 再 KR 国 66) 可 
出 人 不 天 长 入 前 坟 且 区 号 


区 SS [mn 
志和 到 


Ce 


人 
尼 | 醒 用 i [op 
人 


Cwe ] ms | Cm ] ws | 


全 图 4-7 配置 超级 终端 全 图 4-8 选择 连接 时 使 用 的 接口 


(6) 如 图 4-9 所 示 ， 在 出 现 的 “COMI 属性 ”对 话 框 中 ， 


定 ” 按 钮 。 


按照 图 示 进 行 配置 ， 单 击 “ 确 


(7) 如 图 4-10 所 示 ， 给 路 由 器 加 电 ， 启 动 路 由 器 。 在 超级 终端 出 现 路 由 器 IOS 的 相关 
信息 和 路 由 器 接口 。 刚 出 三 的 路 由 器 启动 后 会 进入 系统 配置 对 话 框 ， 这 种 模式 就 是 


setup 模式 。 


确定 取消 | _ 本 四 


全 图 4-9 端口 设置 


Er EL 


卫 B| al3| el 本 


chaisel Support: http://ww.cisco.con/techsupport 3600 系 列 路 由 器 揪 作 系统 IO5 
ye C0> 1986-2805 hy Cleco Byetane, is 12 

npilod Wed 16-Nug-86 04:84 hy prod_rel_t 4 版 本 

nde Extcpaser Ox60003DP de hases BE2Saobbg 


cessor board ID 
998 CPU at 19BMHz=。Inplonentation 33。 Rev 1.2 


PastEthernet interface 
Serial interFaces 1 个 FastEthernet 接 口 ，4 个 Serial 接 口 


bits wide with parity enabled 


conF TouratTon 
25K bytes of NURAM. 
192X hytes of processor board Syaten flash <ReadAWritey 


— Systen Configuration Dialog —— 


ald you like to enter the initial configuration dialog? [yes/no]: 


路 由 器 没有 配置 文件 ， 就 会 进入 setup 模 式 。 


二 | 
已 带 接 0:08:40 。 | 自动 检测 。 | 自动 检测 [FE [os [两 Re FW 


全 图 4-10 进入 setup 模式 


4.2.2 ”使 用 超级 终端 Telnet 路 由 器 
当 你 的 计算 机 和 路 由 器 能 够 通信 后 ， 可 以 使 用 超级 终端 Telnet 到 路 由 器 进行 远程 配置 。 


但 前 提 是 路 由 器 配置 了 Telnet 端口 。 


(1) 选择 “开始 ”一 “程序 ”一 “附件 ”一 “通讯 ”一 “超级 终端 ”命令 。 
(2) 如 图 4-11 所 示 ， 在 出 现 的 “连接 描述 ”对 话 框 中 ,输入 名 称 ,选择 图 标 , 单 击 “ 确 


see 198 oftware, 3699 Seftyare (C3648-J8-1), Veraion 12,4619>, RELEASE SOFTWA 
Cfe: 


isco 3649 (R4780) processor (revision BxFF》 with 94208K/4096K hytes of menory. 
C7 


a 


环境 的 ， 并 且 实 现 路 


(3) 如 图 4-12 所 示 ， 在 出 现 的 “连接 到 ”对 话 框 中 ， 在 连接 时 使 用 ， 下 拉 列 表 框 


择 TCP/IP (Winsock) ， 单 训 


名 称 加 ; 


we |] ws | 


全 图 4-11 配置 超级 终端 


出 
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“确定 ”按钮 。 


telnet to Router 
输入 竺 找 虑 话 的 洗 细 信息 
国家 弛 区 ) 上 ) : 外 华人 民 共有 和 国 66) 忆 
菏 太 不 带 区 生前 统 的 区 号 。 
Ss (E) josl1 
电话 Sr [mm 
连接 时 使 用 :|con -| 

ED | 

厂 检测 载波 丢失 名 ) 
必 使用 国家 (号 区 ) 民 码 和 区 号 加 
[可 


Ce ] we | 


全 图 4-12 选择 TCP/IP 连接 


P 选 


(4) 如 图 4-13 所 示 ， 在 出 现 的 “连接 到 ”对 话 框 中 ， 在 “主机 地 址 ”， 文 本 框 中 输入 


路 由 器 的 也 地址， 单 击 “ 确 定 ” 按 钮 。 


(5) 如 图 4-14 所 示 ， 可 以 看 到 超级 终端 窗口 ， 输 入 Telnet 密码 就 可 以 配置 路 由 器 了 。 


telnet to Router 
请 输入 要 呼叫 的 主机 的 详细 信息 


主机 地 址 0D; |192. 168. 8. 123 


端口 号 如 : 3 


连接 时 使 用 @@) :|TCP/IP QWinsock) -| 


Cm |] ws | 
全 图 4-13 输入 路 由 器 的 接口 地 址 


本 二 时 路 由 器 的 常规 配置 


文件 四 ， 编 得 四， 查看 QD 咋 o 上 ) 传送 UD) 帮助 0) 
口 态 合 和 四 百 杀 


User hccess Verification 


输入 密码 时 不 回 星 任何 
提示 符 


< 
已 连接 0:00:2t 自动 检测 TCF/IP 1 


而 


全 图 4-14 输入 Telnet 密码 


现在 开始 介绍 路 由 器 的 常规 配置 。 本 书 所 有 的 实验 都 是 使 用 Packet Tracer 软件 搭建 实验 


" ”查看 路 由 器 的 基本 信息 。 
" ”配置 路 由 器 名 称 。 


器 和 交换 机 的 基本 配置 。 
= ”使 用 Packet Tracer 搭建 实验 环境 。 
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" ”配置 路 由 器 Telnet 端口 。 

" ”配置 路 由 器 enable 密码 。 

= ”加 密 路 由 器 密码 。 

" ”配置 路 由 器 以 太 网 接口 。 

" ”配置 路 由 器 广域网 接口 。 

= ”通过 Telnet 配置 路 由 器 。 

"测试 路 由 器 连接 是 否 畅 通 。 
"保存 路 由 器 配置 。 


4.3.1 实验 环境 和 要 求 
1. 本 实验 用 到 的 软件 


" Paket Tracer。 

Packet Tracer 是 由 Cisco 公司 发 布 的 一 个 辅助 学 习 工 具 ， 为 学 习 Cisco 网 络 课程 的 初学 
者 去 设计 、 配 置 、 排 除 网 络 故 障 提供 了 网 络 模 拟 环境 。 用户 可 以 在 软件 的 图 形 用 户 界面 上 直 
接 使 用 拖 电 方法 建立 网 络 拓扑 ， 并 可 提供 数据 包 在 网 络 中 详细 处 理 的 过 程 ， 观 察 网 络 实时 运 
行情 况 , 同时 可 以 学 习 IOS 的 配置 、 锻 炼 故 障 排查 能 力 。 目 前 最 新 的 版 本 是 Packet Tracer 5.3， 
支持 VPN、AAA 认证 等 高 级 配置 。 

2. 实验 拓扑 和 IP 地 址 规划 


实验 的 网 络 拓扑 和 下 地 址 规划 如 图 4-15 所 示 。 本 实验 有 4 个 网 段 ，192.168.0.0/24、 
192.168.1.0/24、192.168.2.0/24 和 192.168.3.0/24 和 172.16.0.0/30 网 段 。Router0 和 Routerl、 
Routerl 和 Route2 使 用 广域网 接口 连接 。 两 个 交换 机 和 路 由 器 的 以 太 网 接口 相连 接 ， 这 两 个 
交换 机 代表 两 个 以 太 网 ，PC0 和 PC1 代表 这 两 个 以 太 网 的 计算 机 。 


Se3/ aD/0 Fad/1 


Se3/0 GD5e2/0 
an0/2 Fanf0 DSe2/0 ee 2950T-24 Pope 
月 Router-PT 和 Switchl i 
po 2950T-24 Router-PT MR 
Pco Switch0 Router0 
192. 168.3.0 
192.168.0.0 192. 168.1.0 192. 168.2.0 
255. 255. 255.0 255.255.255.0 。 255. 255.255.0 2 
全 图 4-15 ”实验 网 络 拓扑 
3. 实验 要 求 
" ”计算 机 使 用 本 网 段 的 第 二 个 可 用 的 地 址 , 路 由 器 以 太 网 接口 使 用 本 网 段 第 一 个 可 用 
的 地 址 。 


" ， 按 地 址 规划 配置 Router0 和 Routerl 的 以 太 网 和 广域网 口 的 下 地 址 和 子 网 掩 码 。 广 
域 网 接口 DCE 使 用 本 网 段 第 一 个 地 址 ，DTE 使 用 第 二 个 地 址 。 

" 配置 路 由 器 的 名 称 分 别 为 Router0 和 Router1 。 

= 配置 Router0 允许 Telnet，Telnet 密码 为 91xueit。 

= 配置 Router0 的 enable 密码 为 todd。 
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=" ”配置 Router0 的 enable Security 密码 为 Cisco。 
" ”保存 配置 到 NVRAM。 

" ”查看 保存 的 配置 。 

" ”在 PC0 上 使 用 Telnet 远程 配置 Router0。 
”加 密 口令 。 


4.3.2 ”使 用 Packet Tracer 搭建 实验 环境 


安装 Packet Tracer 软件 ， 并 运行 该 软件 。 

(1) 不 同系 列 的 路 由 器 有 不 同 局 域 网 和 广域网 接口 ， 拖 忠 如 图 4-16 所 示 三 个 路 由 器 到 
工作 区 。 如 果 你 拖 忠 右边 的 路 由 器 ,没有 任何 局 域 网 和 广域网 接口 ， 你 需要 关闭 路 
由 器 ， 添 加 局 域 网 和 广域网 接口 。 


拖 遇 三 个 路 由 器 


全 图 4-16 添加 路 由 器 


(2) 点 击 如 图 4-17 所 示 ， 交 换 机 图 标 ， 在 拖 忠 两 交换 机 ， 代 表 两 个 以 太 网 。 不 同系 列 
的 交换 机 有 不 同 数量 的 以 太 网 端口 。 


Fie Edt Cow Ven Teck Eviereirs Habs 


全 图 4-17 添加 交换 机 
(3) 如 图 4-18 所 示 ， 点 击 计算 机 图 标 ， 再 拖 忠 两 个 计算 机 到 工作 区 所 示 位 置 。 
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PEP TT 
ss 


Tooke PoU is windom| 
全 图 4-18 实验 网 络 拓扑 (1) 


(4) 如 图 4-19 所 示 ， 点 击 链接 线 , 可 以 看 到 有 Console 线 、 直 通 线 、 光 纤 ， 串 行 线 DCE 


和 串 行 线 DTE， 你 需要 在 DCE 端 配置 时 钟 频率 ， 广 域 网 才能 通 
Er oa 


Ph Ch plore Ven Too Crier Pep 


了 网 Om ee oe 


“oI 团 因 团 回 思 E 
| ls 


而 
fape’ 
Console 线 er ee | 。 | 


全 图 4-19 实验 网 络 拓扑 (2) 
(5) 如 图 4-20 所 示 点 中 直通 线 ， 再 点 击 PC0， 出 现 对 话 框 ， 点 击 FastEthemet， 这 表示 


和 PC0 的 以 太 网 接口 连接 。 


因 加 回 目 忆 国 [ 
轩 要 司 Pe | 


全 图 4-20 实验 网 络 拓扑 (3) 
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(6) 如 图 4-21 所 示 ， 再 点 击 交换 机 ， 出 现 交 换 机 可 用 的 所 有 以 太 网 接口 ， 点 中 其 中 一 


New | oa 


Tagsle POU List Wndon | 


全 图 4-21 实验 网 络 拓扑 (4) 
(7) 如 图 4-22 所 示 ， 再 点 击 一 次 直通 线 ， 点 击 交换 机 的 一 个 以 太 网 接口 ， 再 点 击 路 由 


器 ， 和 路 由 器 的 以 太 网 接口 连接 。 这 里 需要 你 记 住 和 路 由 器 的 哪个 编号 的 以 太 网 接 
口 相连 。 


4 
4— Ed 5 
i 2950T-24 er-pT Router-PT ee FE 
We 
PCo Switchg BI rem er: Reuter2 Wi ee x 
ei Q_ 


le 
[Eee Se ls sous [Souros [Destnaton [we 
“oz 园 因 固 轩 四国 1 


Connscticns 了 New Delete 
i 
idk nd Copper Saight-Throug mi] ,| 


全 图 4-22 实验 网 络 拓扑 (5) 


(8) 如 图 4-23 所 示 ， 点 击 广域网 接口 连 线 2 图 标 ， 该 图 标 有 时 钟 ， 这 就 意味 着 这 端 是 
DCE， 连 接 的 另 一 端 是 DIE， 点 击 Router0 选择 Serial2/0 连接 ， 点 击 Routerl 选择 
Serial3/0。 


149 


莫 基 
计算 机 网 络 (修订 版 ) 


“a0gz 门 四 四 团 回 区 Or re se ses [ese 


可 se 二 与 [rm | PR | 和 
全 图 4-23 实验 网 络 拓扑 (6) 
(9) 按照 上 面 的 步骤 ， 照 着 图 4-24 连接 网 络 设备 ， 注 意 接 口 编号 和 广域网 接口 的 DCE 
和 DTE， 接 口 是 红 色 的 表示 接口 的 状态 是 没有 启用 ， 等 后 面 的 步骤 将 路 由 器 的 接 


口 启用 后 就 变 为 绿色 。 
DTE 
DCE DTE DOE Se3/0, D/O F 0/1 
Se3/ Se2/ 
0/2 Pao/o BOS/ Router-PT 2950T-24 PC-PT 
Router-PT er Switchl ee 

re 2950T-24 Router-PT Router1 

wn SwitchO RouterO 
192.168.0.0 192. 168.1.0 192. 168.2.0 翰 梁 呈 导 
255. 255. 255.0 255. 255. 255.0 。。 255.255.255.0 


全 图 4-24 实验 网 络 拓扑 (7) 


4.3.3 ”查看 路 由 器 信息 


查看 路 由 器 的 操作 系统 的 版 本 和 接口 ， 了 解 路 由 器 的 用 户 模式 和 特权 模式 。 
用 户 模式 通常 是 被 用 来 查看 统计 信息 的 ,并且 它 也 是 进入 到 特权 模式 的 垫 脚 石 。 在 特权 
模式 下 可 以 查看 并 修改 Cisco 路 由 器 的 配置 .下 面 介绍 进入 特权 模式 和 退出 特权 模式 的 命令 。 

运行 路 由 器 Router0 和 Routerl ， 进 行 基本 信息 的 查询 。 

(1) 打开 光盘 第 四 章 练习 “实验 01 路 由 器 的 基本 命令 操作 .pkt”， 点 击 Router0， 出 现 
Ronuter0 的 配置 对 话 框 ， 在 CLI 标签 下 ， 由 于 路 由 器 没有 配置 文件 ， 因 此 启动 后 进 
入 路 由 器 的 setup 模式 ， 输 入 nm 退出 setup 模式 。 setup 模式 相当 于 向 导 ， 一 步 一 步 
地 让 你 配置 路 由 器 的 各 个 参数 。 

(2) 如 图 4-25 所 示 ， 按 回 车 键 后 ， 启 动 路 由 器 ， 进 入 用 户 模式 。 提 示 符 是 “>”。 


Cisco 10S 


= 上 回 当 


局 
Physical | conig 。 cH 


IOS Command Line Interface 
X25 software, Version 3-0.0 
4 FastEthernet/IEEE 802.3 interface(s) 
2 Low-speed serial (sync/async) network interface(s) 
32K bytes of non-volatile configuration memory. 
63488K bytes of ATA CompactFlash (Read/Write) 


over 
Ea 2950T-24 | Router-pr Route PoE PS 
er | en onl adradie Didiog 


192. 168.0.0 1a2 168.1.0 用 
255 255 255 0 255 255.255.0 WM continue witn conriguration dialog? [yes/no]: n 


到 


Press RETURN to get started! 


1 Rourer> = 


Copy | Paste 


> EE = 
EPT » 


or | |, pe 
全 图 4-25 实验 网 络 拓扑 
(3) 输入 enable， 进 入 特权 模式 。 提 示 : 在 特权 模式 下 输入 disable 则 退出 特权 模式 ， 
进入 用 户 模式 。 
(4) 在 特权 模式 下 ， 输 入 show version， 可 以 看 到 操作 系统 版 本 、 路 由 器 接口 ， 配 置 寄 


存 器 的 值 。 
Router>enable =-=-=-- 进入 特权 模式 
Router#show version =---- 查看 版 本 信息 


Cisco Internetwork Operating System Software 

IOS (tm) PT1000 Software (PT1000-I-M) ，Version 12.2 (28) RELEASE SOFTWARE (fc5) 
Technical Support: http://www.cisco.com/techsupport 

Copyright (c) 1986-2005 by cisco Systems, Inc. 

Compiled Wed 27-Apr-04 19:01 by miwang 

Image text-base: 0x8000808C, data-base: Ox80Al1FECC 


ROM: System Bootstrap, Version 12.1(3r)T2, RELEASE SOFTWARE (fcl) 
Copyright (c) 2000 by cisco Systems, Inc. 
ROM: PT1000 Software (PT1000-I-M), Version 12.2(28), RELEASE SOFTWARE (fc5) 


System returned to ROM by reload 
System image file is "flash:pt1000-i-mz.122-28.bin"  ----flash 中 操作 系统 文件 


PT 1001 (PTSC2005) processor (revision 0x200) with 60416K/5120Kbytes of memory 
Processor board ID PT0123 (0123) 

PT2005 processor: part number 0, mask 01 

Bridging software. 

X.25 software, Version 3.0.0. 

4 FastEthernet/IEEE 802.3 interface(s) 一 -4 个 快速 以 太 网 接口 
2 Low-speed serial (sync/async) network interface(s) ----2 个 低速 串 行 接口 
32K bytes of non-volatile configuration memory. 
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63488K bytes of ATA CompactFlash (Read/Write) 


Configuration register is 0x2102 -=---- 配置 寄存 器 的 值 
Routert# 
(5) 在 特权 模式 下 输入 show interfaces， 显 示 所 有 路 由 器 的 接口 。 可 以 看 到 接口 的 状态 
和 MAC 地 址 。 


Router#show interfaces 


FastEthernet0/0 is administratively down, line protocol is down (disabled) 

一 -没有 启用 该 接口 就 是 administratively down 

Hardware is Lance, address is 000a.4170.2c9c (bia 000a.4170.2c9c) 
---- 接 口 MAC 地 址 

MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec, 

reliability 255/255, txload 1/255, rxload 1/255 

Encapsulation ARPA, loopback not set 

ARP type: ARPA, ARP Timeout 04:00:00, 

Last input 00:00:08, output 00:00:05, output hang never 

Last clearing of "show interface" counters never 

Input queue: 0/75/0 (size/max/drops); Total output drops: 0 


--more-— 
Router#show interfaces fastEthernet 0/0  ---- 该 命令 显示 fastEthernet 0/0 状态 
Router#show interfaces serial 2/0 ---- 该 命令 显示 serial 2/0 状态 


对 Ethernet 0/0 标明 该 接口 是 以 太 网 接口 ，10M 带宽 ，FastEthemet 0/0 标明 该 接口 


类 时 是 快速 以 太 网 接口 ，100M 带宽 。GigabitEthernet 0/0 标明 该 接口 是 G Bit 


以 太 网 ，1000M 带宽 。Serial 1/0 标明 是 串口 ， 广 域 网 接口 。 


4.3.4 配置 路 由 器 的 全 局 参数 


要 从 CLI 上 进行 配置 ， 可 能 需要 通过 输入 configure terminal (或 其 快捷 方式 config t) 
来 修改 路 由 器 的 某 些 全 局 配置 ， 这 时 你 将 进入 全 局 配置 模式 ， 并 将 被 修改 为 当前 运行 配置 文 
件 中 的 内 容 。 所 谓 全 局 命令 (在 全 局 配置 模式 下 运行 的 命令 ) 是 指 一 旦 被 设置 就 会 影响 整个 


路 由 器 的 命令 。 

以 下 步骤 将 会 配置 路 由 器 的 名 称 ，enable 密码 和 加 密 的 enable 密码 。 
Router#config 七 一 -进入 全 局 配置 模式 
Router (config)# 
Router (config) #hostname Router0 一 -一 -更 改 路 由 器 名 称 
Router0 (config) #enable password todd ”---- 设 置 enable 密码 
Router0 (config) #enable secret Cisco 一 -一 -设置 了 加 密 的 enable 密码 ， 

= 上 面 设置 的 enable 密码 失效 
=-- 按 ctrl+z 组 合 键 从 配置 模式 退出 到 特权 模式 
Router0#disable =---- 退出 特权 模式 
Router0>enable =---- 注意 必须 输入 enable secret 密码 Cisco 
Router0 (config) #no enable secret -——-——- 删除 加 密 的 enable 密码 ， 现 在 进入 特权 模式 
二 === 二 输入 todd 即 可 
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4.3.5 配置 路 由 器 的 接口 


配置 路 由 器 的 接口 需要 进入 接口 配置 模式 ， 为 以 太 网 接口 和 广域网 接口 添加 IP 地 址 和 
子 网 掩 码 ， 启 用 或 禁用 路 由 器 接口 ， 广 域 网 接口 在 DCE 那 端 必须 配置 时 钟 频率 。 

DCE (数据 通信 设备 或 者 数据 电路 终端 设备 ): 该 设备 和 其 他 通信 网 络 的 连接 构成 了 网 
络 终端 的 用 户 网 络 接口 。 它 提供 了 到 网 络 的 一 条 物理 连接 、 转 发 业务 量 ， 并 且 提 供 了 一 个 用 
于 同步 DCE 设备 和 DTE 设备 之 间 数 据 传输 的 时 钟 信号 。 调 制 解 调 器 和 接口 卡 都 是 DCE 设 
备 的 例子 。 

DTE (数据 终端 设备 ): 指 的 是 位 于 用 户 网 络 接口 用 户 端的 设备 ， 它 能 够 作为 信 源 、 信 
宿 或 同时 为 二 者 。 数 据 终端 设备 通过 数据 通信 设备 〈 例 如 ， 调 制 解 调 器 ) 连接 到 一 个 数据 网 
络 上 , 并 且 通 常 使 用 数据 通信 设备 
产生 的 时 钟 信号 。 数 据 终端 设备 包 
括 计算 机 、 协 议 翻 译 器 以 及 多 路 分 
解 器 等 设备 。 

在 教学 环境 中 , 路 由 器 使 用 串 
口 线 连接 ， 如 图 4-26 所 示 ， 在 线 
端口 标明 了 该 端 是 DCE 或 DTE。 
路 由 器 串口 连接 了 DCE 端 ， 该 串 
口 就 需要 指定 时 钟 频率 。 全 图 4-26 广域网 线 缆 DCE 和 DTE 

1. 配置 以 太 网 接口 


配置 以 太 网 接口 PP 地 址 子 网 掩 码 ， 启 用 该 接口 。 


router0#configt -=-=-- 进入 全 局 配置 模式 
Enter configuration commands, one per line. End with CNTL/Z. 
router0 (config)#interface fastEthernet 0/0  ---- 进 入 接口 配置 模式 
router0 (config-if)#ip address 192.168.0.1 255.255.255.0 

-=--- 添 加 IP 地 址 子 网 掩 码 
router0 (config-if)#no shutdown ---- 启 用 接口 


%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up 

SLINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed 
state to up 

router0 (config-if)# 

router0 (config-if)#^2 ---- 按 ctrl+z 组 合 键 进入 特权 模式 

router0# 

如 果 给 路 由 器 的 接口 配置 两 个 以 上 的 他 地 址 ， 需 要 second 参数 : 

router0 (config-if) #ip address 192.168.5.1 255.255.255.0 second 


以 下 命令 删除 路 由 器 接口 的 所 有 卫 地 址 : 

router0 (config-if) #no ip address 

以 下 命令 删除 接口 的 某 个 特定 地 址 : 

router0 (config-if) #no ip address 192.168.5.1 255.255.255.0 
router0 (config-if) #no shutdown: 启用 端口 ，shutdown 是 禁用 端口 。 
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2. 配置 广域网 接口 


(1) 配置 广域网 接口 ， 需 要 在 DCE 接口 配置 时 钟 频率 ， 添 加 卫 地址 子 网 掩 码 ， 启 用 该 
接口 。 


Fouter0#config 七 
Enter configuration commands, one per line. End with CNTL/2Z. 
router0 (config)#interface serial 2/0 ----- 进 入 接口 配置 模式 
Fouter0 (config-if)#clock rate ? ----- 查 看 可 用 的 时 钟 频 率 
Speed (bits per second 

1200 

2400 

4800 

9600 

19200 

38400 

56000 

--more-—— 


router0 (config-if)#clock rate 64000 -配置 时 钟 频率 为 64000 
router0 (config-if)#ip address 192.168.1.1 255.255.255.0 

添加 IP 地 址 和 子 网 掩 码 
router0 (config-if)#no shutdown ---- 启 用 该 接口 


SLINK-5-CHANGED: Interface Serial2/0，changed state to down 
---- 显 示 状 态 依旧 是 down， 需 要 另 一 端 up， 两 端 才 能 up 
router0 (config-if)# 
(2) 查看 接口 是 否 是 DCE， 可 以 运行 以 下 命令 进行 确认 : 
routerO#show controllers serial 2/0 
Interface Serial2/0 
Hardware is PowerQUICC MPC860 
DCE V.35，clock rate 64000 =---- 可 以 看 到 是 DCE 
idb at 0x81081AC4, driver data structure at 0x81084ACO 
SCC Registers: 
General [GSMR]=0x2:0x00000000, Protocol-specific [PSMR]=0x8 
Events [SCCE]=0x0000, Mask [SCCM]=0x0000, Status [SCCS]=0x00 
Transmit on Demand [TODR]=0x0, Data Sync [DSR]=0x7E7E 
--more—— 


(3) 在 Routerl 上 配置 广域网 接口 : 


Router>en 

Router#config t 

Enter configuration commands, one per line. End with CNTL/2. 
Router (config)#hostname Routerl 

Routerl (config)#interface serial 3/0 


Routerl (config-if)#ip address 192.168.1.2 255.255.255.0 ---- 添 加 IP 地 址 
Routerl (config-if)#no shutdown 一 -一 -启用 接口 
SLINK-5-CHANGED: Interface Serial3/0,changed state to up ---- 接 口 状态 变 为 up 
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Routerl (config-if)# 
(4) 在 Router0 上 查看 Serial 2/0 的 状态 。 第 一 个 up 表示 物理 连接 正常 , 第 二 个 up 表示 
数据 链 路 层 配置 正确 ， 如 下 所 示 。 
Fouter0#show interfaces serial 2/0 
Serial2/0 is up, line protocol is up (connected) 
Hardware is HD64570 
Internet address is 192.168.1.1/24 
MTU 1500 bytes, BW 128 Kbit, DLY 20000 usec, 
reliability 255/255, txload 1/255, rxload 1/255 
Encapsulation HDLC, loopback not set, keepalive set (10 sec) 
--More— 


(5) 在 Router0 上 ping Routerl 的 广域网 接口 ， 测 试 是 否 能 够 通信 。 提 示 : 出 现 “!” 表 
示 通 ， 如 果 出 现 “...” 表 示 不 通 ， 如 果 出 现 “!.1.1.” 表 示 有 丢 包 现象 。 
Fouter0#ping 192.168.1.2 


Type escape sequence to abort. 
Sending 5, 100-byte ICMP Echos to 192.168.1.2, timeout is 2 seconds: 


Success rate is 100 percent (5/5), round-trip min/avg/max = 4/16/62 ms 


(6) Router0#show ip interface brief: 显示 精简 的 路 由 器 接口 的 他 信息 和 状态 。 


RA#show ip interface FastEthermet 0/0 -- 可 以 看 到 完整 的 接口 IP 


器 接口 配置 两 个 地 址 也 能 看 到 。 


Fouter0#show ip interface brief 


Interface IP-Address OK? Method status Protocol 
FastEthernet0/0 unassigned YES unset administratively down down 
FastEthernet1/0 92.168-.0-1 YES manual up down 
Serial2/0 924685121 YES manual up up 
Serial3/0 unassigned YES unset administratively down down 
FastEthernet4/0 unassigned YES unset administratively down down 
FastEthernet5/0 unassigned YES unset administratively down down 
routerO0# 


(7) 配置 PC0 的 下地 址 、 子 网 掩 码 和 网 关 ， 并 测试 到 网 关 是 否 通 。 

如 图 4-27 所 示 ， 点 击 PC0， 在 出 现 的 对 话 框 的 Desktop 标签 下 ， 点 击 IP Configuration 
图 标 。 

如 图 4-28 所 示 ， 在 出 现 的 瑟 Configuration 对 话 框 ， 输 入 IP 地 址 、 子 网 掩 码 和 网 关 。 


155 


英 基 
计算 机 网 络 (修订 版 ) 


156 


EPT 7S 


physical | cenfg Desktop | 


ssical | Config Desktop | 


下 辣 可 加 略 


IP Configuration 


physical | contg [Desktop | 


全 图 4-27 实验 网 络 拓扑 (1) 


LT 


后 


=lgl 寺 


点 击 甘 按钮 关闭 对 话 框 ， 如 图 4-29 所 示 ， 再 点 击 Command Prompt， 打 开 命令 提示 符 。 
如 图 4-30 所 示 ， 在 命令 提示 符 下 ， 输 入 ping 192.168.0.1 测试 是 否 能 够 ping 通 网 关 。 


physical | Config Desktop | 


A 图 4-28 实验 网 络 拓扑 (2) 


了 al 对 | 


+ 
I 


能 直接 使 用 ， 必 须 对 其 进行 下 面 简单 的 配置 才 人 允许/ 


全 图 4-29 实验 网 络 拓扑 (3) 


4.3.6 配置 路 由 器 允许 通过 Telnet 配置 


全 图 4-30 实验 网 络 拓扑 (4) 


使 用 Telnet 可 以 在 网 络 连通 后 远程 配置 路 由 器 。 这 样 ， 当 企业 网 络 管理 员 对 路 由 器 进行 


配置 时 ， 就 不 用 跑 到 机 房 进行 配置 了 。 但 是 如 果 网 络 断 了 ,管理 员 就 不 能 通过 Telnet 配置 路 
器 了 。 


VTY (Virtual Type Terminal) 是 Cisco 设备 管理 的 一 种 方式 ，VTY 线路 启用 后 ， 并 不 


router0#config 七 


户 进行 登录 。 


Enter configuration commands，one per line. End with CNTL/Z. 


Fouter0 (config)#line vty 0 ? 
<1-15> Last Line number 
<Cr> 
router0 (config)#line vty 0 15 
router0 (config-line)#password 91xueit 
router0 (config-line)#login 
router0 (config-line)#exit 


ITouter0k#config t: 进入 全 局 配置 模式 


Iouter0(config) 雪 ine vty 0 ?: 可 以 查看 该 路 
操作 系统 版 本 不 同 VTY 的 接口 数量 也 不 同 。 

Iouter0(config) 雪 ine vty 0 15: 设置 路 由 器 可 

router0(config-line)#password 91xueit: 设置 


Iouter0(config-line) 圾 ogin: 该 命令 要 求 Telnet 路 


日 器 的 可 用 VTY 接口 的 数量 ， 因 为 路 由 器 


以 同 由 
Telnet 
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允许 16 个 Telnet 会 话 。 
密码 为 91xueit。 
器 必须 登录 ， 即 必须 输入 密码 。 


如 果 配 置 了 router0(config-line) 圾 ogin， 而 没有 配置 Telnet 密码 ， 则 不 允许 Telnet 配置 路 


器。 


如 果 路 由 器 所 处 的 网 络 或 有 其 他 的 安全 措施 ，Telnet 路 由 器 可 以 不 要 求 密码 。 输 入 命令 
router0(config-line)#no login，Telnet 路 由 器 就 不 需要 密码 了 ， 即 使 配置 了 Telnet 密码 。 
通过 Telnet 连接 到 路 由 器 , 如 果 没 有 配置 enable 密码 , 则 不 允许 进入 特权 模式 。Console 


口 是 可 以 的 。 


如 果 路 由 器 的 安全 要 求 高 ， 你 也 可 以 配置 Console 接口 的 连接 密码 。 以 下 命令 配置 


Console 接口 的 密码 。 
router0 (config)#line console ? 
<0-0> First Line number 
Fouter0 (config)#line console 0 
Fouter0 (config-line)#password todd 
Fouter0 (config-line)# 


在 PC0 上 在 命令 提示 符 下 输入 Telnet 路 由 
器 。 输 入 telnet 密码 ， 进 入 用 户 模 式 ， 再 输入 
enable， 输 入 特权 密码 ， 进 入 特权 模式 。 现 在 你 
可 以 像 在 console 连接 到 路 由 器 一 样 远程 配置 
路 由 器 了 。 如 图 4-31 所 示 。 


4.3.7 查看、 保存 和 删除 路 由 器 配置 


当 你 使 用 Console 口 
NVRAM 中 ， 这 样 路 由 器 了 


启动 的 时 候 自动 运行 的 配置 。 


---- 可 以 看 到 console 编号 就 一 个 


0 


全 图 4-31 实验 网 络 拓扑 


查看 路 由 器 的 当前 配置 ， 在 特权 模式 下 ， 输 入 show running-config。 


routerO#show running-config 
Building configuration... 


Current configuration : 747 bytes 
version 12.2 


或 Telnet 配置 路 由 器 设置 ， 会 立即 生效 ， 这 些 设置 需要 保存 到 
后 将 加 载 这 些 配置 。 如 果 不 保存 配置 ， 则 重启 路 由 器 后 配置 丢 
失 。 在 路 由 器 上 的 running-config 是 你 本 次 对 路 由 器 所 做 的 配置 ， 而 starup-config 是 路 由 


器 
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no service timestamps 1og datetime msec 
no service timestamps debug datetime msec 
no service password-encryption 
hostname router0 

enable password todd 

interface FastEthernet0/0 

ip address 192.168.0.1 255.255.255.0 
duplex auto 

speed auto 

interface FastEthernet1/0 

no ip address 

duplex auto 

speed auto 

shutdown 

interface Serial2/0 

ip address 192.168.1.1 255.255.255.0 
clock rate 64000 

interface Serial3/0 

no ip address 

shutdown 

interface FastEthernet4/0 

no ip address 

shutdown 

interface FastEthernet5/0 

no ip address 

shutdown 

ip classless 

line con 0 

password todd 

line vty 0 4 

password 91xueit 

login 

line vty 5 15 

password 91xueit 

login 
end 

router0# 

保存 配置 、 恢 复 配置 ， 查 看 保存 的 配置 ， 查 看 运行 的 配置 


router0#show running-config。 


router0#copY running-config startup-config 一 -保存 路 由 器 的 配置 
router0#copy startup-config running-config =-- 将 保存 的 配置 覆盖 当前 的 配置 ， 

一 -如 果 在 配置 失败 的 情况 下 ， 通 过 该 命令 可 以 恢复 到 路 由 器 启动 时 的 配置 
router0#show startup-config 一 -可 以 查看 保存 的 配置 
Fouter0#erase Startup-config 一 -删除 路 由 器 配置 
Fouter0#show startup-config 一 -查看 保存 的 配置 ， 不 存在 
routerO#reload 一 -重启 路 由 器 ， 将 进入 setup 模式 
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在 给 路 由 器 配置 了 Telnet 密码 、enable password 或 Console 密码 后 ， 运 行 show running- 
config 命令 ， 能 够 看 到 这 些 密码 。 如 果 配 置 路 由 器 时 ， 有 其 他 人 看 到 ， 就 不 安全 。 为 了 保证 
安全 ， 可 以 运行 以 下 命令 ， 加 密 这 些 密码 ， 以 便 在 运行 show running-config 命令 时 ， 加 密 显 
示 这 些 密码 。 

在 全 局 模式 下 输入 service password-encryption 命令 ,再 次 输入 show running-config 命令 ， 
可 以 看 到 enable 密码 加 密 显 示 。 如 果 想 查看 这 些 密码 ， 在 全 局 模式 下 输入 no service 
password-encryption。 

enable secret 密码 始终 是 加 密 的 。 即 使 运行 了 no service password-encryption 命令 ， 也 看 
不 到 明文 。 

Fouter0#config 七 

Enter configuration commands，one per line. End with CNTL/Z. 
router0 (config)#service password-encryption 
router0 (config)#°^2 


routerO# 
$%SYS-5-CONFIG I: Configured from console by console 


Fouter0#show running-config 
Building configuration... 


Current configuration : 782 bytes 

! 

version 12.2 

no service timestamps 1og datetime msec 
no service timestamps debug datetime msec 
service password-encryption 

! 

hostname router0 

! 

enable password 7 0835434A0D ---- 加 密 的 enable 密码 
| 

interface FastEthernet0/0 

ip address 192.168.0.1 255.255.255.0 
duplex auto 

speed auto 

! 

interface FastEthernet1/0 

no ip address 

duplex auto 

speed auto 

shutdown 

|: 

interface Serial2/0 

ip address 192.168.1.1 255.255.255.0 
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Clock rate 64000 

有 
interface Serial3/0 

no ip address 

shutdown 

! 
interface FastEthernet4/0 
no ip address 

shutdown 

| 

interface FastEthernet5/0 
no ip address 

shutdown 

! 

ip classless 

line con 0 

password 7 0835434A0D 
line vty 0 4 

password 7 08781D561C1C0C03 -=--- 加 密 的 telnet 密码 
login 

line. vty 5 .15 

password 7 08781D561C1C0C03 
login 

! 

end 

router0# 


| 4.4 | Cisco 命令 行 帮助 功能 


现在 为 大 家 介绍 路 由 器 命令 提示 符 的 高 级 使 用 技巧 ， 可 以 使 用 Cisco 路 由 器 的 高 级 编辑 
功能 来 帮助 你 配置 路 由 器 。 
4.4.1 使 用 帮助 功能 和 命令 简写 

1. 使 用 帮助 功能 

在 任何 提示 符 下 输入 一 个 问号 “?”， 都 会 得 到 在 当前 提示 符 下 所 有 可 用 的 命令 列表 。 
如 图 4-32 所 示 ， 如 果 显 示 不 完全 ， 可 以 按 空 格 键 得 到 下 一 页 的 显示 内 容 ， 按 回 车 键 得 到 下 
- 行 显示 ， 按 Q 键 或 其 他 任意 键 退出 此 帮助 并 返回 提示 符 。 

如 果 某 个 命令 您 只 记得 前 面 几 个 字符 ， 可 以 输入 这 几 个 字符 和 “ ? ”查找 这 些 字符 开 
头 的 命令 。 
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<1-99> Session nunber to resune 一 
access-enable Create a tempoPary fccess-List entry 
access-profile fpply user-profile to interface 

access-template Create a temporary fccess-List entry 


alps ALPS exec comnands 
archive manage archive files 

audio-prompt load ivr prompt 

auto Exec level hutomation 

bfe For manual energency modes setting 

call Voice call 

ccm-nanager Call Manager hpplication exec comnands 

cd Change current directory 

一 More--_， 按 空格 得 到 下 一 页 的 星 示 内 容 , 按 回 车 键 得 到 下 一 行 显示 ， 


按 @ 键 或 其 他 任意 键 退 出 此 帮助 并 返回 提示 符 。 
uterAtic? 。 查找 c 开 头 的 命令 


Call con-nanager cd clear 
lock cns configure connect 


‘opy ct-isdn 


uterAishow ? 星 示 show 命 令 囊 的 下 一 个 可 用 命令 


ET HHH values 

aal2 Show connands for AAL2 

access-expression List access expression 

access-lists List access lists 

accounting Accounting data for active sessions 

adjacency Adjacent nodes 

alarn-interface Display information about a specific 
Alarn Interface Card 

aliases Display alias comnands 

alignment Show alignnent information 

alps Alps information 

appletalk hppleTalk information 

arap Show hppletalk Renote hccess 
Statistics 

archive Archive of the running configuration 


A 图 4-32 帮助 
2. 命令 简写 
命令 可 以 简写 ， 如 果 输 入 的 命令 前 几 个 字符 能 够 唯一 标明 一 个 命令 ， 后 面 的 可 以 不 写 ， 
或 按 Tab 键 补 全 后 面 的 命令 ， 如 图 4.33 所 示 。 
CE 


uterhyen en 开头 的 命令 只 有 enable ,您 可 以 简写 为 en 
assword: 
uterAtish sh 开头 的 命令 只 有 show , 按 tab 键 可 补 全 命令 


uterAtshow interfaces f£ 
uterAtshow interfaces fastEthernet 


x Incomplete command- 命令 不 全 
uterAishow inteface 
x_ Invalid input detected at ’^’ marker. 指明 错误 的 位 置 
uterAitsh ru 
x hmbiguous_conmand: "sh ru” 有 歧义 的 命令 
uterAlsh Fu7 
dpul running-config 有 两 个 ru 开头 的 命令 
<| | 4 


全 图 4-33 命令 简写 
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如 果 命令 后 面 的 参数 没有 指定 ， 则 提示 “InCOMplete Command”， 即 命令 不 全 。 
如 果 命令 有 错误 ， 在 出 错 的 位 置 使 用 “^” 指 示 。 
如 果 输 入 的 命令 简写 有 歧义 , 即 有 多 个 命令 是 以 所 输 的 字符 串 开 头 的 ， 可 以 使 用 问号 来 


找 出 需要 的 命令 。 


3. 其 他 一 些 功能 

按 Ctrl+P 组 合 键 或 人 键 可 以 显示 上 次 输入 过 的 命令 。 

按 CtrlHN 组 合 键 或 上 键 可 以 显示 前 面 输入 过 的 下 一 条 命令 。 
按 show history 可 以 显示 最 近 输 入 过 的 10 条 命令 。 


1. 下 面 关 于 路 由 器 的 描述 中 ， 正 确 的 是 。 
A. 路 由 器 中 串口 与 以 太 网 接口 必须 是 成 对 的 
B. 路 由 器 中 串口 与 以 太 网 接口 的 中 地 址 必须 在 同一 网 段 
C. 路 由 器 的 串口 之 间 通 常 是 点 对 点 连接 
D. 路 由 器 的 以 太 网 接口 之 间 必 须 是 点 对 点 连接 
2. 如 果 要 彻底 退出 路 由 器 或 者 交换 机 的 配置 模式 ， 输 入 的 命令 是 。 


A. exit B. no config-mode 
C.CuHC D. Ctrl+Z 

3. 把 路 由 器 配置 脚本 从 RAM 写 入 NVRAM 的 命令 是 ” 。 
A. save ram nvram B. save ram 


C. copy running-config startup-config  D. copy all 


4. 路 由 器 命令 router>sh int 的 作用 是 a 
A. 检查 端口 配置 参数 和 统计 数据 。 B. 进入 特权 模式 
C. 检查 是 否 建立 连接 D. 检查 配置 的 协议 
5. 下 面 列 出 了 路 由 器 的 各 种 命令 状态 ， 可 以 配置 路 由 器 全 局 参数 的 是 __。 
A. router> B. router# 
C.router (config) # D. router (config-if) # 


6. 如 果 是 北京 佳 城 公司 的 网 络 管理 员 , 你 正在 配置 Cisco 路 由 器 。 你 打算 配置 路 由 器 的 
接口 PP 地址 ， 应 该 使 用 哪个 命令 ? 
A. router (config-if) #ip address 142.8.2.1 subnet mask 255.255.252.0 
B. router (config-if) #142.8.2.1 0.0.3.255 
C. router (config-if) #ip address 142.8.2.1 255.255.252.0 
D. router (config-if) #142.8.2.1 subnet mask 255.255.252.0 
E. router (config-if) #ip address 142.8.2.1 0.0.3.255 
F. router (config-if) #ip address 142.8.2.1 subnet mask /22 
7. 下 面 哪 条 命令 能 够 显示 路 由 器 接口 卫 地 址 ? 
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A. show running-config B. show startup-config 
C. show interfaces D. show protocols 
8. 哪 一 条 命令 能 够 显示 广域网 接口 serial 0 连接 的 DCE 还 是 DTE 线 缆 ? 
A. show int s0 B. show int serial 0 
C. show controllers s 0 D. show serial 0 controllers 


9. 你 设置 了 Console 密码 ,但 是 当 你 运行 show running-config 命令 时 ， 密 码 没有 正常 显 
示 ， 如 下 所 示 : 


Line console 0 


天 
本 


Exec-timeout 1 44 


Password 794534RES23SD 


Login 
什么 原因 使 你 不 能 看 到 Console 密码 呢 ? 
A. encrypt password B. dervice password-encryption 
C. dervice-password-encryption D. exec-timeout 1 44 
10. 下 面 哪 条 命令 使 你 能 够 配置 所 有 的 非 企 业 版 IOS 路 由 器 的 VTY 接口? _ 
A. router#line vty 0 4 B. router (config) #line vty 0 4 


C. router (config-if) #line console 0 D.router (config) #line vty all 
11. 下 面 哪 条 命令 删除 路 由 器 的 NVRAM 中 的 内 容 ? 

A. delete NVRAM B. delete startup-config 

C. erase NVRAM D. erase start 
12. 当 你 运行 show interface serial 0 命令 ， 你 看 到 以 下 输出 : 

Serial 0 is administratorly down, line protocol is down 


是 什么 原因 引起 的 ? _ 


A. 管理 员 shutdown 该 接口 B. 管理 员 正 在 从 该 接口 ping 
C. 线 缆 没有 接 好 D. IP 地 址 没有 配置 
13. 如 果 你 删除 了 NVRAM 且 重 启 了 路 由 器 ， 将 进入 什么 模式 ? 
A. 特权 模式 B. 全 局 配置 模式 
C. setup 模式 D. NVRAM 加 载 模 式 


14. 如 果 输 入 show interface serial 1， 看 到 了 以 下 输出 : 
Seriall is down, line protocol is down 
看 起 来 像 是 OSI 参考 模型 的 哪 一 层 出 了 问题 ? 
A. 物理 层 B. 数据 链 路 层 
C. 网 络 层 D. 路 由 器 出 了 问题 
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习题 答案 
和 也 
和 2. 
3 
4.A 
人 已 
VA 
8.C 
生 是 
10.B， 非 企业 版 的 路 由 器 默认 就 支持 0 一 4 共 5 个 VTY 接口 
.DD 
12.A 
号 
14. A,， 如果 看 到 串 行 口 和 协议 都 关闭 了 , 那么 你 遇 到 了 一 个 物理 层 上 的 问题 。 如 果 
看 到 “Seriall is up，line protocol is down” 提 示 ， 则 表明 没有 从 远 端 收 到 保持 激活 
数据 ， 属 于 数据 链 路 层 问 题 
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在 本 章 中 ， 您 将 学 习 数据 包 路 由 的 详细 过 程 ， 以 及 网 络 能 畅通 的 必要 条 件 。 通 过 本 章 的 
学 习 , 您 将 能 够 排除 数据 包 路 由 产生 的 网 络 故 障 , 并 使 用 路 由 汇总 和 默认 路 由 简化 路 
由 表 的 配置 ， 您 还 能 够 在 Windows 配置 路 由 和 默 

本 章 主要 内 容 : 

=” IP 路 由 _ 
， 网络 畅 通 的 必要 条 件 
路 由 
路 由 汇总 
默认 路 由 


四 EN NN 


SS 


S 
» 
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医 之 国 ,p 路 由 


路 由 就 是 路 由 器 从 一 个 网 段 到 另外 一 个 网 段 转发 数据 包 的 过 程 , 即 数据 包 通过 路 由 器 转 
发 ， 就 是 数据 路 由 。 

网 络 畅通 的 条 件 是 ， 要 求 数 据 包 必 须 能 够 到 达 目 标 地 址 ， 同 时 数据 包 必 须 能 够 返回 发 送 
地 址 。 这 就 要 求 沿途 经 过 的 路 由 器 必须 知道 到 目标 网 络 如 何 转发 数据 包 ,， 即 到 达 目 的 网 络 下 
一 跳 转 发 给 哪个 路 由 器 ， 也 就 是 必须 有 到 达 目 标 网 络 的 路 由 , 沿途 的 路 由 器 还 必须 有 数据 包 
返回 所 需 的 路 由 。 

如 图 5-1 所 示 , 计算 机 PC0 ping PC1, 网 络 要 想 通 , 要 求 沿途 的 路 由 器 Router0、Routerl、 
Router2 和 Router3 都 必须 有 到 192.168.1.0/24 网 段 的 路 由 ， 这 样 数据 包 才能 到 达 PC1。PC1 
要 回应 数据 包 给 PC0， 沿 途 所 有 的 路 由 器 必须 有 到 192.168.0.0/24 网 络 的 路 由 ， 这 样 数据 包 


才能 回来 。 
有 有 大 192.168.1.0724 同 也 的 中 出 、》 
y 
p> pa 人 G 
A B 


H 2950T-24 4 
F 3 re 192.168.1.2 
2950T-24 C router-py Rone | We Sn PC1 
192.168.0.2 Switcho wR / Routerl NA_/ 
Router0 
< 沿途 所 有 路 由 器 必须 有 到 达 192.168.0.0/24 网 段 的 路 由 | 


全 图 5-1 网 络 畅通 的 条 件 
如 果 沿 途 的 路 由 器 ， 任 何 一 个 缺少 到 达 目 标 网 络 192.168.1.0/24 的 路 由 ， 该 路 由 器 将 返 
计算 机 PC0 数据 包 ， 提 示 目 标 主机 不 可 到 达 。 
如 果 沿 途 的 路 由 器 ， 任 何 一 个 缺少 到 达 网 络 192.168.0.0/24 的 路 由 ， 这 就 意味 着 数据 包 
不 能 返回 PC0， 将 在 PC0 上 显示 请 求 超时 。 
基于 以 上 原理 ， 网 络 排 错 就 变 得 简单 了 。 如 果 网 络 不 通 ， 您 就 要 检查 计算 机 是 否 配置 了 
正确 的 人 P 地 址 子 网 扼 码 以 及 网 关 ， 逐 一 检查 沿途 路 由 器 上 的 路 由 表 ， 是 否 有 到 达 目 标 网 络 
的 路 由 ; 然后 逐一 检查 沿途 路 由 器 上 的 路 由 表 ， 是 否 有 数据 包 返 回 所 需 的 路 由 。 
路 由 器 如 何 知道 网 络 中 的 各 个 网 段 以 及 下 一 跳 转发 到 哪个 地 址 ?路 由 器 通过 查看 路 由 
表 来 确定 数据 包 下 一 跳 如 何 转 发 。 
路 由 器 有 两 种 方式 构建 路 由 表 : 一 种 方式 是 管理 员 在 每 个 路 由 器 上 配置 到 各 个 网 络 的 路 
， 这 就 是 静态 路 由 ， 适 合 规模 较 小 的 网 络 或 网 络 不 怎么 变化 的 情况 ; 另 一 种 方式 就 是 配置 
路 由 器 使 用 路 由 协议 (RIP、EIGRP 或 OSPF) 自动 构建 路 由 表 ， 这 就 是 动态 路 由 ， 动 态 路 
由 适合 规模 较 大 的 网 络 ， 能 够 针对 网 络 的 变化 自动 选择 最 佳 路 径 。 
以 下 重点 讲解 静态 路 由 。 


5.1.1 配置 静态 路 由 
以 下 的 实验 和 讲解 使 用 Cisco 的 Packet Tracer 软件 实现 。 


回 
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打开 随 书 光盘 中 第 5 章 练习 “01 静态 路 由 pkt”， 如 图 5-2 所 示 。 可 以 看 到 ， 该 网 络 中 
有 5 个 网 段 ， 网 络 中 的 计算 机 和 路 由 器 都 配置 好 了 IP 地 址 。 现 在 需要 你 在 路 由 器 上 添加 路 
表 ， 实 现 这 5 个 网 段 的 互联 互通 。 
路 由 器 直 连 的 网 络 不 需要 人 工 添加 路 由 
添加 到 3、4、5 网 络 的 路 由 


添加 到 1、2、5 网 络 的 路 由 


172.16.2.0/24 


192. 168. 1. 0/24 


172. 16.0.0/24 172. 16.1.0/24 


2950T-24 
Switchl 
2950T-24 
SwitchO 


1 
添加 到 1、4、5 网 络 的 路 由 
全 图 5-2 静态 路 由 

要 想 实现 整个 网 络 的 互联 互通 ,网络 中 的 每 个 路 由 器 必须 有 到 每 个 网 络 的 路 由 。 对 于 路 
由 器 直接 连接 的 网 络 ， 不 必 再 添加 到 这 些 网 络 的 路 由 表 。 您 只 需 在 路 由 器 上 添加 那些 没有 直 
连 的 网 络 的 路 由 。 

如 图 5-2 所 示 ， 路 由 器 Router0 连 着 1 和 2 网 段 ， 只 需 在 Router0 上 添加 到 3、4、5 网 
段 的 路 由 ; 路 由 器 Routerl 连接 着 2 和 3 网 段 ， 只 需 在 Routerl 上 添加 1、4、5 网 段 的 路 由 ; 
路 由 器 Router2 连接 着 3、4 网 段 , 只 需 在 Router2 上 添加 1、2、5 网 段 的 路 由 ; 路 由 器 Router3 
连接 着 网 络 4、5 网 段 ， 只 需 Router3 上 添加 1、2、3 网 段 的 路 由 。 

在 这 4 个 路 由 器 添加 路 由 表 的 过 程 如 下 。 

(1) Router0 上 的 配置 : 告诉 Router0 到 3、4、5 网 段 下 一 跳 是 C 地 址 。 

Router0>en -- 进 入 特权 模式 
Router0#show ip route -- 查 看 路 由 表 


Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP 


D - EIGRP, EX - EIGRP external, 0O - OSPF, IA - OSPF inter area 
Nl1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 
El - OSPF external type 1, E2 - OSPF external type 2, E - EGP 
i - IS-IS, Ll - IS-IS level-1，L2 - IS-IS level-2, ia - IS-IS inter area 
* -~ candidate default, U - per-user static route, o - ODR 
P - periodic downloaded static route 

Gateway of last resort is not set 

172.16.0.0/24 is subnetted, 1 subnets 

C 172.16.0.0 is directly connected, Serial2/0 

人 192.168.0.0/24 is directly connected, FastEthernet0/0 

到 直 连 的 网 络 的 路 由 ， 前 面 的 C 代表 是 直 连 的 网 络 。 

Router0#config tt -- 进 入 全 局 配置 模式 

Router0 (config) #ip route 172.16.1.0 255.255.255.0 172.16.0.2 
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-- 添 加 到 172.16-1.0/24 网 段 的 路 由 ，172.16.0.2 是 下 一 跳 的 地 址 
Router0 (config) #ip route 172.16.2.0 255.255.255.0 172.16.0.2 

一 -添加 到 172 .16.2.0/24 网 段 的 路 由 ，172.16.0.2 是 下 一 跳 的 地 址 
Router0 (config) #ip route 192.168.1.0 255.255.255.0 172.16.0.2 


一 -添加 到 192 .168 .1.0/24 网 段 的 路 由 ，172 .16.0.2 是 下 一 跳 的 地 址 


到 172.16.1.0/24、172.16.2.0/24 和 192.168.1.0/24 网 络 的 路 由 ， 下 一 跳 都 是 


172.16.0.2， 路 由 器 只 目标 网 络 下 一 跳 给 哪个 地 址 。 


Router0 (config) #^2 -- 按 Ctrl+z 组 合 键 退回 到 特权 模式 

Router0#show ip route -- 查 看 路 由 表 

Gateway of last resort is not set 

172.16.0.0/24 is subnetted，3 subnets -- 提 示 172.16.0.0/24 被 划分 成 3 个 子 网 
172.16.0.0 is directly connected, Serial2/0 

172.16.1.0 [1/0] via 172.16.0.2 -- 添 加 的 静态 路 由 ， 前 面 的 s 代表 是 静态 路 由 
YI23E6s230 [AON wha ly2 L602 


[i 
S 
S 
192.168.0.0/24 is directly connected, FastEthernet0/0 
S 192.168.1.0/24 [1/0] via 172.16.0.2 
可 以 看 到 路 由 表 有 到 5 个 网 络 的 路 由 , 也 就 是 该 路 由 器 知道 了 到 网 络 中 各 个 网 络 如 何 转 
Router0#copy running-config startup-config -- 保 存 配 置 
(2) Routerl 上 的 配置 : 告诉 Routerl 到 达 1 网 段 下 一 跳 是 B 地 址 ， 到 达 4、5 网 段 下 一 
跳 是 E 地 址 。 
Routerl>en 
Routerl#config t 
Routerl ( config )#ip route 192.168.0.0 255.255.255.0 172.16.0.1 
Routerl ( config )#ip route 172.16.2.0 255.255.255.0 172.16.1.2 
Routerl ( config ) #ip route 192.168.1.0 255.255.255.0 172.16.1.2 
Routerl ( config ) #^2Z 
Router1#show ip route 
Routerl#copy running-config startup-config 
路 由 表 中 显示 5 条 路 由 ， 完 成 配置 。 
(3) Router2 上 的 配置 : 告诉 Router2 到 达 1、2 网 段 下 一 跳 是 D 地 址 ， 到 达 5 网 段 下 一 
跳 是 G 地 址 。 
Router2>en 
Router2#config 七 
Router2 ( config ) #ip route 192.168.0.0 255.255.255.0 172.16.1.1 
Router2 ( config ) #ip route 172.16.0.0 255.255.255.0 172.16.1.1 
168 


Router2 (config )#ip route 192.168.1.0 255,255.255.0 172.16.2.2 
Router2 ( config ) #^2 
Router2#show ip route 


Router2#copy running-config startup-config 


(4) 在 Router3 上 的 配置 : 告诉 路 由 Router3 到 达 1、2、3 网 段 下 一 跳 是 地址 。 


Router3>en 

Router3#config t 

Router3 (config) #ip route 192.168.0.0 255.255.255.0 172.16.2.1 
Router3 (config) #ip route 172.16.0.0 255.255.255.0 172.16.2.1 
Router3 (config) #ip route 172.16.1.0 255.255.255.0 172.16.2.1 
Router3 (config) #^2 


Router3#copy running-config startup-config 


Router3#ping 192.168.0.2 -在 路 由 器 上 测试 到 PC0 是 否 通 


Type escape sequence to abort. 


Sending 5, 100-byte ICMP Echos to 192.168.0.2, timeout is 2 seconds: 


St =-- 第 一 个 是 "”. "表示 数据 包 延 迟 大 ， 后 面 的 4 个 "! " 代表 网 络 通 
Success rate is 80 percent (4/5), round-trip min/avg/max = 15/19/25 ms 
Router3#traceroute 192.168.0.2 -- 使 用 traceroute 跟踪 数据 包 的 路 径 


Type escape sequence to abort. 


Tracing the route to 192.168.0.2 


LU L7216521L 4 msec 3 msec 6 msec 
2 112.16L 2 msec 4 msec 3 msec 
S722165:051 6 msec 9 msec 5 msec 


4 192.168.0.2 19 msec 16 msec 33 msec 
(5) 在 PC0 上 ping PC1， 测 试 网 络 是 否 畅 通 ， 使 用 tracert 跟踪 数据 包 路 径 。 


PC>ping 192.168.1.2 -测试 到 PC1 网 络 是 否 通 


Pinging 192.168.1.2 with 32 bytes of data: 


Reply from 192.168.1.2: bytes=32 time=22ms TTL=124  -- 从 目标 地 址 返回 数据 包 


Reply from 192.168.1.2: bytes=32 time=27ms TTL=124 
Reply from 192.168.1.2: bytes=32 time=22ms TTL=124 
Reply from 192.168.1.2: bytes=32 time=20ms TTL=124 
Ping ‘statistics for 192. 168.1.2: 


Packets: Sent = 4, Received = 4, Lost = 0 (0% loss)，-- 发 送 了 4 个 , 接收 了 4 个 


Approximate round trip times in milli-seconds: 


Minimum = 20ms，Maximum = 27ms，Average = 22ms-- 最 大 延迟 、 最 小 延迟 和 平均 延迟 
PC>tracert 192.168.1.2 一 -跟踪 数据 包 路 径 ， 返 回 沿 途经 过 的 路 由 器 的 地 址 


Tracing route to 192.168.1.2 over a maximum of 30 hops: 
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1 5ms 7ms 6ms 192.168.0.1 --192.168.0.1 是 Router0 的 A 接口 地 址 
2 14ms 7ms 19ms 172.16.0.2 --172.16.0.2 是 Routerl 的 C 接 口 地 址 
3 14 ms 33 ms 12 ms 172.16.1.2 --172.16.1.2 是 Router2 的 E 接 口 地址 
4 23ms 21 ms 37 ms 172.16.2.2 --172.16.2.2 是 Router3 的 G 接 口 地址 
5 33 ms 18 ms 29 m5 19922368B 下 < 之 

Trace complete. 


PC>ping 172.16.2.2 -- 测 试 到 路 由 器 Router3 接口 是 否 通 


通过 在 路 由 器 上 添加 路 由 表 ， 每 个 路 由 器 上 都 有 到 5 个 网 段 的 路 由 。 因 此 PC0 


和 PC1 计算 机 可 以 和 网 络 中 的 任何 路 由 器 的 任何 一 个 接口 通信 。 


5.1.2 ”删除 静态 路 由 


如 果 A 网 段 计算 机 和 B 网 段 计算 机 通信 ， 数 据 包 在 传输 过 程 中 途经 的 路 由 器 从 路 由 表 
中 没有 找到 到 达 B 网 段 的 路 由 ,该 路 由 器 将 会 返回 计算 机 “目标 主机 不 可 到 达 ”的 提示 信息 。 
如 果 数 据 包 到 达 了 目的 网 段 B，B 网 段 数据 包 返 回 A 网 段 时 ， 沿 途 的 路 由 器 没 到 达 A 
网 段 的 路 由 表 ，A 网 段 计算 机 将 会 显示 请 求 超时 。 
下 面 将 演示 “目标 主机 不 可 到 达 ” 和 “请 求 超时 ”的 两 种 情况 如 何 产生 。 


可 删除 静态 路 由 ， 如 图 5-3 所 示 。 


删除 到 达 192. 168. 1. 0/24 网 段 的 路 由 


172.16.2.0124 


192. 168. 1.0/24 


172. 16.1.0/24 


172.16.0.0/24 
2950T-24 
Switchl 
2950T-24 
Switcho 
删除 到 达 192. 168. 0. 0/24 网 段 的 路 由 
全 图 5-3 删除 静态 路 由 

打开 随 书 光盘 中 第 5 章 练习 “02 删除 静态 路 由 .pkt”。 网络 中 的 路 由 表 已 经 配置 好 ，PC0 
能 ping 通 PC1。 

删除 Router2 到 达 192.168.1.0/24 网 段 的 路 由 ， 然 后 使 用 PC0 测试 到 PC1 是 否 能 够 ping 
通 ; 在 Router2 上 删除 到 达 192.168.0.0/24 网 段 的 路 由 ， 然 后 使 用 PC0 测试 到 PC1 是 否 能 
ping 通 。 

1. 目标 主机 不 可 到 达 

(1) 在 Router2 上 删除 到 达 192.168.1.0/24 网 段 的 路 由 。 


Router2 (config) #no ip route 192.168.1.0 255.255.255.0 
一 -删除 路 由 表 不 需要 指明 下 一 跳 
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(2) 在 PCO 上 pingPC1l。 
PC>ping 192.168.1.2 
Pinging 68.1.2 with 32 bytes of data: 
Reply from 172.16.1.2 --Destination host unreachable. 
Reply from 172.16.1.2 --Destination host unreachable. 
Reply from 172.16.1.2 --Destination host unreachable. 
Reply from 172.16.1.2 --Destination host unreachable. 
Ping statistics for 192.168.1.2: 

Packets --Sent = 4, Received = 0, Lost = 4 (100% loss) 


从 Router2 的 接口 返回 ， 目 标 主 机 不 可 到 达 。 
2. 请 求 超时 
(1) 在 Router2 上 添加 到 达 192.168.1.0/24 网 段 的 路 由 。 
Router2 (config) #ip route 192.168.1.0 255.255.255.0 172.16.2.2 
一 -添加 路 由 表 
Router2 (192.1config) #no ip route 192.168.0.0 255.255.255.0 
一 删除 到 达 192 .168 .0.0/24 网 段 的 路 由 
(2) 在 PCO 上 pingPC1 
PC>ping 192.168.1.2 
Pinging 192.168.1.2 with 32 bytes of data: 
Request timed out. 
Request timed out. 
Request timed out. 
Request timed out. 
Ping statistics for 192.168.1.2: 
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss) 


请 求 超时 ， 这 是 因为 数据 包 没有 返回 来 。 


并 不 是 所 有 的 “请 求 超 时 ”都 是 路 由 器 的 路 由 表 造 成 的 ， 其 他 的 原因 也 可 以 导致 


请 求 超时 ， 比 如 对 方 的 计算 机 启用 防火 墙 ， 或 对 方 的 计算 机 关机 ， 这 些 都 是 “请 
求 超 时 ”。 


| 5s.2 [LPT 


通过 合理 地 规划 瑟 地 址 即 通过 将 连续 的 瑟 地 址 指派 给 物理 位 置 较为 集中 的 网 络 ， 在 路 
器 上 配置 路 由 表 ， 可 以 将 连续 的 多 个 网 络 汇总 成 一 条 ， 这 样 可 简化 路 由 器 的 表 。 
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5.2.1 通过 路 由 汇总 简化 路 由 表 


如 图 5-4 所 示 ，172.16.0.0/24、172.16.1.0/24、172.16.2.0/24…172.16.255.0/24 网 段 都 在 
图 中 竖 线 的 右 侧 ， 在 RouterR 路 由 器 添加 路 由 ， 如 果 针 对 这 么 多 的 子 网 添加 路 由 表 ， 需 要 添 
加 256 条 。 有 没有 更 简单 的 方法 呢 ? 


172.16.6.0124 


172.16.5.0124 


172. 16 网 络 都 在 这 边 。 1472164024 


只 马 /) 172.16.2.0124 
172.16.1.024 
Ud 1721600124 
RouterR(configyip route 172 16. 00 255.255.255.0 10.00.2 
RouterRtconfgjip route 172 16.10 255255255010002 “|| 如 果 一 个 网 眉 添 
RouterR(config Wip route 172.16.2.0 255.255.255.0 10.0.0.2 加 一 条 路 由 需要 
: 添加 256 条 


RouterR(config Wip route 172.16.255.0 255.255.255.010.0.07 
RouterR(config ip route 192,168,2.0 255.255,255.0 10.0,1.1 


全 图 5-4 地 址 规划 
172.16.0.0/24、172.16.1.0/24、172.16.2.0/24…172.16.254.0/24、172.16.255.0/24 子 网 都 在 
竖 线 的 右 侧 ， 总 之 172.16 打头 的 地 址 都 在 竖 线 的 右 侧 。 因 此 在 RouterR 添加 一 条 路 由 表 ip 
route 172.16.0.0 255.255.0.0 10.0.0.2， 注 意 ， 子 网 掩 码 为 255.255.0.0。 如 图 5-5 所 示 ， 参 照 这 
条 路 由 ，RouterR 收 到 目标 地 址 是 172.16 打头 的 数据 包 ， 全 部 转发 给 10.0.0.2。 这 样 能 够 大 
大 降低 路 由 表 中 的 路 由 条 目 数 量 ， 提 高 选择 路 径 的 速度 。 


mp 
172.16.6.0/24 


172.16.5.0/24 


172. 16 网 络 都 在 这 边 a 
P58) 


172.16.3.0/24 


le 


“3E) 
fe 


172.16.2.0/24 


172.16.1.0/24 


172.16.0.0/24 
[ 子 网 挤 码 为 255.255.0.0 
RouterR(config)#ip route 172.16.0.0 255.255.0.0 10.0.0.2 将 256 条 的 路 由 汇总 成 为 
RouterR(config)}#ip route 192.168.2.0 255.255.255.0 10.0.1.1 1 条 


全 图 5-5 路 由 汇总 (1) 
进一步 ， 如果 在 竖 线 的 右 侧 ， 有 172.0.0.0/16、172.1.0.0/26、172.2.0.0/16…172.255.0.0/16 
网 络 ， 总 之 ， 凡 是 172 打头 的 网 络 都 在 竖 线 的 右 侧 。 你 只 需 在 路 由 器 RouterR 添加 一 条 路 | 
ip route 172.0.0.0 255.0.0.0 10.0.0.2， 如 图 5-6 所 示 。 


这 意味 着 只 要 该 路 由 器 收 到 目标 地 址 是 172 打头 的 卫 地 
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172.6.0.0/16 


172.3.0.0/16 
EE 


192.168.2.0 ) 
B 
33) 172.2.0.0/16 
192.168.0.0 172.1.0.0/16 
172.0.0.0/16 
RouterR(config)#ip route 172.0.0.0 255.0.0.0 10.0.0.2 tt 
和 


RouterR(configjiproute 192.168.2.0 255.255.255.0 10.0.1-1 | 网络 的 地 址 转发 到 10.0.02 


全 图 5-6 路 由 汇总 (2) 


5.2.2 路 由 汇总 例外 
如 图 5-7 所 示 ， 如 果 卫 地 址 规划 时 没有 考虑 周全 ，172.16 网 络 大 多 数 子 网 在 坚 线 右 侧 ， 
但 是 172.16.10.0/24 网 段 在 竖 线 的 左 侧 。 这 种 情况 ， 在 RouterR 路 由 器 上 ， 如 何 汇总 呢 ? 
这 种 情况 ， 仍 然 可 以 针对 竖 线 右 侧 大 多 数 172.16 开始 的 子 网 进行 汇总 ， 不 过 还 需要 针 
对 172.16.10.0/24 网 络 再 单独 添加 一 条 路 由 ， 指 明 到 该 网 段 下 一 跳 如 何 转发 。 
路 由 汇总 例外 172.16.6.0/24 


172.16 打 头 的 大 多 数 网 络 在 
时 线 右边 ， 可 以 路 由 可 以 汇 


总 成 为 一 条 。 
172.16.4.0/24) 
奖 ) 
oy n 172.16.3.0/24 


172.16.2.0/24 


172.16.10.0/24 网 段 在 
里 线 的 左边 ,需要 单独 针 
对 这 个 网 段 添加 路 由 , 2) 


172.16.5.0/2. 


172.16.0.0/24 172.16.1.0/24 


| 
RouterR(config}#ip route 172.16.0.0 255 255.0.0 10.0.0.2 


RouterR(config)#ip route 172 16.10.0 255.255. 255010 011 
RouterR(configj#ip route 192.168.2.0 255.255.255.0 10.0.1.1 ®@ 


全 图 5-7 路 由 汇总 例外 
路 由 器 RouterR 收 到 到 达 172.16 网 络 的 数据 包 ， 首 先 查看 路 由 表 ， 检 查 是 否 到 达 


172.16.10.0/24 网 段 ， 如 果 是 ， 则 根据 路 由 表 中 第 2 条 路 由 的 转发 ， 如 果 不 是 ， 则 根据 路 
表 中 第 1 条 路 由 转发 。 


5.2.3 无 类 域 间 路 由 ( CIDR ) 


以 上 讲述 的 路 由 汇总 ， 为 了 初学 者 容易 理解 ， 通 过 将 子 网 掩 码 向 左 移 8 位 ， 合 并 了 256 
网 段 。CIDR 采用 13 一 27 位 可 变 网 络 ID， 而 不 是 A、B、C 类 网 络 ID 所 用 的 固定 的 8、16 
和 24 位 。 这 样 我 们 可 以 将 子 网 掩 码 向 左 移动 1 位 ， 合 并 两 个 网 段 ， 向 左 移动 两 位 合并 4 个 
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网 段 ; 向 左 移动 3 位 合并 8 个 网 段 ; 向 左 移动 n 位 ， 就 可 以 合并 2" 个 网 段 。 
打开 随 书 光盘 中 第 5 章 练 习 “05 CIDR 简化 路 由 .pkt”， 网 络 拓扑 如 图 5-8 所 示 ， 网 络 中 
的 路 由 器 和 计算 机 已 经 按照 图 示 配 置 完成 。 你 需要 在 RouterA 上 添加 到 B 区 域 网 络 的 路 由 ， 
在 RouterB 上 添加 到 A 区 域 网 络 的 路 由 。 注 意 观 察 A 区 域 的 网 络 是 连续 的 4 个 C 类 网 络 ， 
这 4 个 网 络 可 以 合并 为 192.168.16.0/22， 因 此 你 只 需要 在 RouterB 上 添加 一 条 路 由 表 即 可 。 
B 区 域 的 子 网 可 以 合并 为 10.7.78.0/23， 因 此 你 只 需要 在 RouterA 上 添加 一 条 路 由 表 即 可 。 


RouterA (config)#ip route 10.7.78.0 255.255.254.0 172.16.1.2 ] 


RouterB (config)#ip route 192. 168. 16.0 255.255.252.0 172.16. 1.1 


192. 168. 16. 0/24 


10.7.78.0/24 


172. 16.1.0730 2 


10.7.79.0724 


全 图 5-8 使 用 CIDR 简化 路 由 表 


医 志 甬 默认 路 由 


可 以 看 到 ， 在 给 路 由 器 添加 路 由 时 ， 子 网 掩 码 中 1 的 位 数 越 少 ， 该 条 路 由 涵盖 的 网 络 越 
多 。 那 么 ， 极 限 是 什么 呢 ? 

就 是 网 络 地 址 和 子 网 掩 码 都 为 0， 如 下 所 示 配 置 。 

Router (config) #ip route 0.0.0.0 0.0.0.0 10.0.0.2 

这 就 意味 着 到 任何 网 络 下 一 跳 转发 给 10.0.0.2。 网 络 地 址 和 子 网 掩 码 均 为 0 的 路 由 就 是 
默认 路 由 。 


5.3.1 ”使 用 默认 路 由 作为 指向 Internet 的 路 由 


某 公 司 有 A、B、C 和 D4 个 路 由 器 ,6 个 网 段 ， 网 络 拓扑 和 地 址 规划 如 图 5-9 所 示 。 现 
在 要 求 在 这 4 个 路 由 器 上 添加 路 由 , 使 内 网 之 间 能 够 相互 通信 ， 同 时 这 6 个 网 段 都 需要 访问 
Internet。 
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> RouterC(config)#ip route 172.16.6.0 255.255.255.0 172.16.3.6 

2 RouterC(config)#ip route 172.16.2.0 255.255.255.0 172.16.3.6 
RouterC(config)#ip route 172.16.3.0 255.255.255.252172.16.3.6 
RouterC(config)#ip route 172.16.3.8 255.255.255.252 172.16.3.6 
RouterC(config)#ip route 0.0.0.0 0.0.0.0 20.2.1.1 


Internet 


rk 
p16.3.6/30 
S97172.16.3.9/30 
A 三 
a » 


RouterD(config)#ip route 0.0.0.0 0.0.0.0 172.16.3.2 


RouterA(config)#ip route 172.16.2.0 255.255.255.0 172.16.3.1 
RouterA(config)#ip route 172.16.6.0 255.255.255.0 172.16.3.10 
RouterA(config)#ip route 0.0.0.0 0.0.0.0 172.16.3.5 


RouterB(config)#ip route 0.0.0.0 0.0.0.0 172.16.3.9 


全 图 5-9 使 用 默认 路 由 简化 路 由 表 

路 由 器 B， 直 连 两 个 网 段 ， 除 了 到 这 两 个 网 络 的 数据 包 ， 到 其 他 网 络 都 需要 转发 到 路 由 
器 A 的 S0 接口 ， 因 此 只 需要 添加 一 条 默认 路 由 即 可 ， 如 图 5-9 所 示 。 

对 于 路 由 器 D 来 说 ， 直 连 两 个 网 段 ， 除 了 到 这 两 个 网 段 的 数据 包 ， 到 其 他 的 网 络 都 需 
要 转发 给 路 由 器 A 的 S1 接口 ， 因 此 只 需要 添加 一 条 默认 路 由 即 可 ， 如 图 5-9 所 示 。 

对 于 路 由 器 A 来 说 , 直 连 3 个 网 段 , 添加 到 172.16.6.0/24 网 络 的 路 由 和 到 172.16.2.0/24 
网 络 的 路 由 ， 除 了 这 两 个 网 络 ， 到 其 他 网 络 都 需要 转发 到 路 由 器 C 的 S0 接口 ， 因 此 需要 添 
加 一 条 默认 路 由 指向 该 接口 。 

对 于 路 由 器 C 来 说 ， 直 连 3 个 网 段 ， 除 了 到 内 网 的 数据 包 就 是 到 Intemet 的 数据 包 ， 因 
此 需要 添加 到 内 网 的 其 他 网 段 的 路 由 ， 再 添加 一 条 默认 路 由 指向 路 由 器 EE 的 S0 接口 。 

通过 以 上 的 配置 可 以 看 到 ， 默 认 路 由 是 优先 级 最 低 的 一 条 路 由 。 比 如 路 由 器 C， 收 到 一 
个 数据 包 首 先 检 查 是 否 是 到 内 网 的 数据 包 ， 如 果 不 是 就 使 用 默认 路 由 将 数据 包 转 发 到 


Internet。 


幸亏 使 用 了 默认 路 由 ， 否 则 ， 你 需要 将 Internet 上 所 有 的 网 段 都 一 条 一 条 添加 到 


内 网 的 路 由 器 ， 不 但 你 会 疯 掉 ， 就 是 路 由 器 也 会 硼 演 ! 


5.3.2 ”让 默认 路 由 代替 大 多 数 网 段 的 路 由 


如 图 5-10 所 示 ， 网 络 有 7 个 网 段 ，6 个 路 由 器 。 图 中 路 由 器 接口 的 编号 是 该 接口 的 中 
地 址 。 如 何 使 用 默认 路 由 简化 路 由 表 ? 

路 由 器 A 直 连 着 两 个 网 段 , 到 其 他 网 段 都 需要 转发 给 路 由 器 B, 因此 只 需 添加 一 条 默认 
路 由 指向 路 由 器 B 的 2 接口 中 地 址 即 可 。 
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路 由 器 B 直 连 两 个 网 段 ， 网 络 中 大 多 数 网 络 都 在 B 路 由 器 的 右边 ， 因 此 需要 添加 一 条 默 
认 路 由 指向 路 由 器 C 的 2 接口 他 地 址 ， 再 针对 左边 的 网 络 192.168.0.0/24 网 段 添加 一 条 路 由 。 


192.168.4.0/24 192.168.5.0/24 


192.168.1.0/24 192.168.2.0/24 


起 
192.168.60/24 


RouterA(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.2 RouterF(config)#ip route 0.0.0.0 0.0.0.0 192.168.5.1 


rE(config)#ip route 192.168.6.0 255.255.255.0 192.168.5.2 


RouterB(config)#ip route 192.168.0.0 255.255.255.0 192.168.1.1| 
RouterB(config)#ip route 0.0.0.0 0.0.0.0 192.168.2.2 RouerE(config)#ip route 0.0.0.0 0.0.0.0 192.168.4.1 
RouterC(config)#ip route 192.168.0.0 255.255.255.0 192.168.2.1||RouterD(cAnfiq)#ip route 192.168.5.0 255.255.255.0 192.168.4.2 
RouterC(config)#ip route 192.168.1.0 255.255.255.0 192.168.2.1||RouterD(coyfiq)#ip route 192.168.6.0 255.255.255.0 192.168.4.2 
RouterC(config)#ip route 0.0.0.0 0.0.0.0 192.168.3.2 RouterD(corWfig)#ip route 0.0.0.0 0.0.0.0 192.168.3.1 中 


RouterD(config)#ip route 192.168.0.0 255.255.255.0 192.168.3.1 
RouterD(config)#ip route 192.168.1.0 255.255.255.0 192.168.3.1 
RouterD(config)#ip route 192.168.2.0 255.255.255.0 192.168.3.1 
RouterD(confiqg)#ip route 0.0.0.0 0.0.0.0 192.168.4.2 


全 图 5-10 默认 路 由 代替 大 多 数 网 络 
路 由 器 C 直 连 两 个 网 段 ， 对 于 路 由 器 C 来 讲 ， 右 边 的 网 段 多 于 左边 的 网 段 ， 因 此 添加 
-条 默认 路 由 指向 路 由 器 D 的 2 接口 IP 地 址 ， 然 后 针对 左边 的 两 个 网 段 192.168.0.0/24 和 
192.168.1.0/24 添加 路 由 。 
路 由 器 D 直 连 两 个 网 段 ， 对 于 路 由 器 D 来 讲 ， 左 边 的 网 段 多 于 右边 的 网 段 ， 因 此 添加 
-条 默认 路 由 指向 路 由 器 C 的 1 接口 人 P 地 址 ， 然 后 针对 右边 的 两 个 网 段 192.168.5.0/24 和 
192.168.6.0/24 添加 路 由 。 这 样 路 由 器 的 路 由 表 有 3 条 路 由 ， 如 图 5-10 中 标识 的 配置 。 如 
果 添 加 的 默认 路 由 指向 路 由 器 E 的 接口 2IP 地 址 ， 那 么 就 需要 针对 路 由 器 D 左边 的 网 络 
192.168.0.0/24、192.168.1.0/24 和 192.168.2.0/24 网 段 添加 路 由 ， 这 样 路 由 表 中 有 4 条 路 由 ， 
如 图 5-10 中 标识 @ 的 配置 。 如 果 您 不 嫌 麻 烦 ， 这 样 配置 网 络 也 是 可 以 通 的 。 
路 由 器 EE 和 下 的 路 由 配置 就 不 袭 述 了 。 


配置 路 由 时 , 看 看 路 由 器 哪 边 的 网 段 多 , 就 是 用 一 条 默认 路 由 指向 下 一 跳 ， 然 后 
再 针对 其 他 网 段 添 加 路 由 。 


大 家 思考 一 下 ,在 以 上 网 络 中 , 如果 PC0 ping 202.99.160.68, 会 出 现 什么 情况 呢 ? 
路 由 器 A 收 到 该 数据 包 ， 使 用 默认 路 由 将 该 数据 包 转 发 给 路 由 器 B， 路 由 器 B 


使 用 默认 路 由 将 该 数据 包 转 发 给 路 由 器 C， 路 由 器 C 使 用 默认 路 由 将 该 数据 包 
转发 给 路 由 器 D， 路 由 器 DD 收 到 后 通过 默认 路 由 将 数据 包 又 转发 给 路 由 器 C， 
然后 路 由 器 C 又 转发 给 路 由 器 D, 直 至 该 数据 包 的 TIL 耗 尽 , 最 后 返回 PC0“reply 
位 om 192.168.3.1: TTL expired in transit”, 因为 经 过 路 由 器 转发 一 次 数据 包 的 TTL 
将 会 减 1。 
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5.3.3 ”使 用 默认 路 由 和 
路 由 汇总 简化 路 由 表 


现在 我 们 将 网 络 扩大 
到 Intermet。 如 图 5-11 所 示 
是 Intemet 上 三 个 国家 的 网 
络 规划 。 国 家 级 网 络 规划 ; 
英国 使 用 30.0.0.0/8 网 段 ， 
美国 使 用 20.0.0.0/8 网 段 ， 
中 国 使 用 40.0.0.0/8 网 段 。 

中 国 省 级 IP 地址 进行 
规划 : 河北 省 使 用 
40.2.0.0/16 网 段 ， 河 南 省 使 
用 40.1.0.0/16 网 段 ， 其 他 省 
份 使 用 40.3.0.0/16 、 
40.4.0.0/16 … 40.255.0.0/16 
网 段 。 

河北 省 市 级 IP 地 址 规 
划 : 石家庄 地 区 使 用 
40.2.1.0/24 网 段 ， 秦 皇 岛 地 
区 使 用 40.2.2.0/24 网 段 ， 保 
定 地 区 使 用 40.2.3.0/24 网 
段 ， 如 图 5-12 所 示 。 

路 由 器 A、D 和 也 是 
中 国 、 英 国 和 美国 的 国际 出 
口 路 由 器 。 这 一 级 别 的 路 由 
器 ， 到 中 国 的 只 需 添加 一 条 
40.0.0.0 255.0.0.0 路 由 , 到 美 
国 的 只 需 添加 一 条 20.0.0.0 
255.0.0.0 路 由 ， 到 英国 的 只 
需 添 加 一 条 30.0.0.0 
255.0.0.0 路 由 。 由 于 很 好 地 
规划 了 IP 地 址 , 可 以 将 一 个 


30.0.0.0/8 


Op wens WD 00 0 
MR E00 EaR 


| 
和 ed sete 
12.0.0.6/30 2 


全 图 5-12 路 由 汇总 和 默认 路 由 


国家 的 网 络 汇总 为 一 条 路 由 。 这 一 级 路 由 器 上 的 路 由 表 就 变 得 精简 。 
中 国 的 国际 出 口 路 由 器 A, 除了 添加 到 美国 和 英国 两 个 国家 的 路 由 ,还 需要 添加 到 河 


省 、 河 北 省 或 其 他 省 份 的 路 由 。 由 于 各 个 省 份 的 人 P 地 址 也 进行 了 很 好 的 规划 ， 一 个 省 的 


络 可 以 汇总 成 一 条 路 由 。 这 一 级 路 由 器 的 路 由 表 也 很 精简 。 


河北 省 的 路 由 器 C， 它 的 路 由 如 何 添加 呢 ? 对 于 路 由 器 C 来 说 ， 数 据 包 除了 到 石家庄 、 


南 
网 


秦皇岛 和 保定 地 区 的 网 络 外 ,其 他 要 么 是 出 省 的 要 么 是 出 国 的 数据 包 。 如 何 添加 路 由 呢 ? 省 
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级 路 由 器 只 需 关 心 到 石家庄 、 秦 皇 岛 或 保定 地 区 的 网 络 如 何 转发 ， 添 加 针对 这 三 个 地 区 的 路 
， 其 他 的 网 络 使 用 一 条 默认 路 由 指向 路 由 器 A。 这 一 级 路 由 器 使 用 默认 路 由 ， 也 能 够 使 
路 由 表 变 得 精简 。 

对 于 路 由 器 瑟 来 说 ,只 需 添加 默认 路 由 指向 省 级 路 由 器 C。 网 络 末端 的 路 由 器 使 用 默认 
路 由 即 可 ， 路 由 表 更 加 精简 。 


5.3.4 Windows 上 的 默认 路 由 和 网 关 


以 上 介绍 了 为 路 由 器 添加 路 由 ， 其 实 计算 机 也 有 路 由 表 ， 我 们 可 以 在 计算 机 上 运行 
route print 显示 Windows 操作 系统 上 的 路 由 表 , 也 可 以 运行 netstat -r 显示 Windows 操作 系 
统 上 的 路 由 表 。 

如 图 5-13 所 示 ， 给 计算 机 配置 网 关 就 是 为 计算 机 添加 默认 路 由 。 


Internet 协议 (TCP/IP) 属性 C:\¥INDOWS\systen32\cad. exe 


[两 
ET 


:Docunents and Settings \Adninistrator netstat 下 


〇 目 动 获得 匡 地 址 中 ) ~ MS TCP Loophback interface 
全 合用 下 面 的 IP 地 址 G8) 和 29 cS 18 77 -----。hMD PCNET Fanily PCI Ethernet hdapter — 数据 包 计 一 
王 地 址 加 ) [ET 
子 网 掩 码 QD) 255 .255 
默认 网 关 吕 ) 192 .168 


回 使 用 下 面 的 DNS 服务 器 地 址 到) 


127.0.0.1 10 

192.168.8.112 10 

人 i 192.168.8.112 10 
备用 TS 服务 器 他 ) 192-16R -R -112 


5 
pefault Gai es 


LT jPersistent Routes: 


[C: \Docunents and Settings\Adninistrator>, 


全 图 5-13 网 关 等 于 默认 路 由 

如 果 不 配 置 计算 机 的 网 关 ， Ce VLDOVS tO 
使 用 以 下 命令 添加 默认 路 由 。 如 
图 5-14 所 示 , 去 掉 本 地 连接 的 网 
关 ， 在 命令 提示 符 下 输入 route 


+- MS ICP Loophack interface 


AMD PCNET Fanily PCI Ethernet Adapter - 数据 包 计 


print, 可 以 看 到 没有 默认 路 由 了 ， | 
该 计算 机 将 不 能 访问 其 他 网 段 ， 5 

。 月 于 4 日 标 255.255-255-8 。 192.168-8-112 。 192.168-8-112 10 
ping 202.99.160.68， 提 示 “ 目 标 235-255 192.158-82112 。 192.188-82122 1 


249-B-B-B 192.168.8.112 192.168.8.112 10 


主机 不 可 到 达 ”。 


[C:\Documents and Settings\AdninistratorYping 282.99.168.68 


lpinging 282.99.168.68 with 32 bytes of data: 


stination host unreachable. 
stinacion host unreachable. 和 
Stination host unreachable. 目标 主机 不 可 到 达 


stination host unreachable 


ing statistics for 282.99.168.68: 
Packets: Sent = 4。 Received = 8- Lost = 4 C198x loss), 


全 图 5-14 查看 路 由 表 


第 5 章 


静态 路 由 


如 图 5-15 所 示 ， 在 命令 提示 符 下 输入 route ?可 以 看 到 该 命令 的 帮助 。 
输入 route add 0.0.0.0 mask 0.0.0.0 192.168.8.1， 添 加 默认 路 由 。 
输入 route print， 可 以 参考 路 由 表 ， 添 加 的 默认 路 由 已 经 出 现 。 
ping 202.99.160.68， 可 以 ping 通 。 


jc: pocunenrs and Settings\Adninistrator>route /7m 查看 帮助 


jExanples: 


> route PRINT 
> route ADD 157-9.9-B MASK 255.8.8.8 157.55.88.1 METRIC 3 IP 2 


destination~ nask gateway netric~ 2 
merace 添加 路 由 的 例子 
IF IP is not given, it tries to find the best interface for a given 
gateway. 
> route PRINT | 
> route PRINT 157w ---。 only prints those natching 157w 


> route CHANGE 157.9.9.9 MASK 255.9.8.8 157.55.88.5 METRIC 2 IF 2 
CHANGE is used to nodify gatevay and/or metric only. 

> route PRINT 

> route DELETE 157.8.8.0 


[C:\Documents and Settings Ndninistrator2route add 9.9.9.9 nask 09.9.0.9 192.168.8 


MS ICP Loophack interface _ 
RMD PCNET Fanily PCI Ethernet ndapter - 数据 包 计 


Interface 
132.168.8 和 


Gatevay 
192.168.8. + 


255.255.255.0 
255.255.255.255 
255.255.255.255 


jPersistent Rout 
None 


[FC: \Docunents and Settings wdninistrator>ping 282.99.169.68 。 ping seat | 
jPinging 282.99.168.68 with 32 bytes of data: 够 成 功 


ply fron 282.99.168.68: bytes-32 tine-132ns TITL-249 
ply fron 282.99.168.68: bytes-32 tine-92ns TITL-249 
ply fron 282.99.168.68: bytes-32 tine-i82ns TTL-248 
ply fron 282.99.168.68: bytes™32 tine-92nms TTL-240 


全 图 5-15 添加 默认 路 由 
在 很 多 企业 或 家 庭 ， 通 常 需要 一 


多 个 计算 机 访问 Internet， 选 择 一 台 
Server 安装 两 个 网 卡 ， 一 个 连接 
Internet， 一 个 连接 内 网 ， 如 图 5-16 
所 示 。 这 样 的 网 络 环 境 需要 如 何 配 


Internet 


131.2.1.1 
255.255.255.252 


ernei 
置 计算 机 的 网 关 和 下 地址 呢 ? _ 26786267 


如 图 5-16 所 示 ， 内 网 的 计算 机 
需要 配置 耻 地址、 子 网 掩 码 和 网 关 ， 


Ineal 连接 Internet 的 连接 
192.168.1.1 


(255 255 2550 需要 设置 网 关 


网 关 就 是 Server 的 内 网 网 卡 的 他 地 。 [ 嗓 地 运 ， ei 
址 。 在 Server 上 的 两 个 连接 ， 内 网 人 


的 网 卡 不 需要 配置 网 关 ， 但 是 连接 ”” 接 志和 要 指证 网 关 
Internet 的 网 卡 需要 配置 默认 网 关 。 全 图 5-16 网 关 与 本 地 连接 
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通过 以 上 的 学 习 ， 我 们 得 到 以 下 结论 。 

网 络 畅通 的 条 件 是 数据 包 既 能 转发 到 目的 地 ， 还 要 能 够 返回 。 

网 络 排 错 最 基本 的 原理 就 是 逐一 检查 沿途 的 路 由 器 是 否 有 到 达 目 标 网 络 的 路 由 , 然后 再 
逐一 检查 沿途 的 路 由 器 是 否 有 数据 包 返 回 所 需 的 路 由 。 

计算 机 的 网 关 就 是 计算 机 的 默认 路 由 ， 网 络 排 错 应 该 检查 计算 机 是 否 配置 了 正确 的 IP 
地 址 、 网 关 以 及 子 网 掩 码 。 

将 IP 地 址 连续 的 地 址 分 配给 物理 位 置 连续 的 网 络 ， 这 样 便于 路 由 汇总 ， 减 少 路 由 器 的 
路 由 表 。 

路 由 汇总 的 极限 就 是 默认 路 由 ， 默 认 路 由 优先 级 最 低 。 

路 由 器 是 根据 路 由 表 转 发 数据 的 , 网 络 管理 员 可 以 通过 给 路 由 器 添加 路 由 表 来 控制 数据 
包 传递 的 路 径 。 


本 > > 


打开 随 书 光盘 第 5 章 练习 文件 。 
5.5.1 实验 1: 静态 路 由 
1. 实验 目的 
" ”在 所 有 的 路 由 器 上 添加 静态 路 由 。 
" ”能 够 在 小 型 的 网 络 环境 中 配置 路 由 表 。 
" ”能 够 使 用 ping 测试 静态 路 由 配置 。 
a 使 用 Tracert 跟踪 数据 包 。 


= 排除 网 络 故障 。 
= 在 Router3 上 删除 到 172.16.0.0/24 网 段 的 路 由 。 


2. 网 络 拓扑 和 实验 环境 
如 图 5-17 所 示 ， 已 经 将 路 由 器 的 所 有 接口 和 计算 机 的 人 P 地 址 按照 网 络 拓扑 配置 。 


172.16.0.0 72.16.3.1 


255.255.255.0 255.255.255.0 
172.16.2.0 
Ir2.16.5.2 255.255.255.0 
月 2950T-24 Router- 172.16.3.2 255.255.255.0 
PC-PT Switchl 5 255.255.0 
Pe ors/ gs /0 FD 
rat 及 
Router-PT 人 PC-PT 
Rowter-pT outerl 人 PC2 
172.16.1.0 Reuter0 172.16.5.1 
255. 255.255.0 255 255.255.0 
172.18 2 
255 255 255.0 
ey 2950T-24 RouterPTir2 16.4.1 
en Switcho Router3 255 255.255.0 


全 图 5-17 网 络 拓扑 
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Ed 


实验 要 求 


给 网 络 中 的 路 由 器 添加 路 由 表 

”不 使 用 路 由 汇总 和 默认 路 由 

4. 实验 步骤 

(1) 在 Router2 上 查看 路 由 和 添加 静态 路 由 。 

Router#show ip route -- 查 看 现 有 的 路 由 表 ， 发 现 只 有 直 连 的 网 段 的 路 由 信息 
Router#config t 

Router config) #1ip route 112-16=1.0 255<255525550 L72165362 
Router (config) #ip route 172.16.4.0 255.255.255.0 172.16.3.2 
Router (config) #ip route 172.16.5.0 255.255.255.0 172.16.3.2 
Router (config) #ip route 172.16.2.0 255.255.255.0 172.16.3.2 


Router#show ip route 

Gateway of last resort is not set 
172.16.0.0/24 is subnetted, 6 subnets 

C 172.16.0.0 is directly connected，FastEthernet0/0 --C 直 连 的 网 络 

S01 7260 Lao via 72 6 --S 添加 的 静态 路 由 

S iT6E250JULOT via 25162322 

人 172.16.3.0 is directly connected, Serial2/0 

S L220l6ad 0 TAO mia II2<LG SS 

S EI2 L650 0 LAON wa l72 L632 


Router#copy running-config startup-config =-- 保 存 配置 
(2) 在 Router3 上 添加 静态 路 由 。 

Router#config 七 

Router (config) #ip route 172.16.0.0 255.255.255.0 172.16.4.2 

Router (config) #ip route 172.16.3.0 255.255.255.0 172.16.4.2 

Router (config) #ip route 172.16.2.0 255.255.255.0 172.16.4.2 

Router (config) #ip route 172.16.5.0 255.255.255.0 172.16.4.2 

Router (config) #exit 

Router#show ip rout -- 显 示 路 由 表 

Router#copy running-config startup-config 一 -保存 配置 
(3) 在 Router0 上 添加 静态 路 由 。 

Router#config 七 

Router (config) #ip route 172.16.0.0 255.255.255.0 172.16.3.1 

Router (config) #ip route 172.16.1.0 255.255.255.0 172.16.4.1 

Router (config) #ip route 172.16.2.0 255.255.255.0 172.16.5.2 


Router#copy running-config startup-config 
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(4) 在 Routerl 上 添加 静态 路 由 


Router#configure t 


Router (config) #ip route 172.16.0.0 255.255.255.0 172.16.5.1 
Router (config) #ip route 172.16.1.0 255.255.255.0 172.16.5.1 
Router (config) #ip route 172.16.3.0 255.255.255.0 172.16.5.1 
Router (config) #ip route 172.16.4.0 255.255.255.0 172.16.5.1 
Router#copy running-config startup-config 
(5) 在 PC1 上 测试 到 PC0 的 连接 ， 测 试 静态 路 由 。 
PC>ping 172.16.1.2 -- 静 态 路 由 配置 正确 
Pinging 172.16.1.2 with 32 bytes of data: 
Reply from 172.16.1.2: bytes=32 time=27ms TTL=253 
Reply from 172.16.1.2: bytes=32 time=14ms TTL=253 
Reply from 172.16.1.2: bytes=32 time=20ms TTL=253 
Reply from 172.16.1.2: bytes=32 time=16ms TTL=253 
PC>tracert 172.16.1.2: 使 用 Tracert 跟踪 数据 包 
Tracing route to 172.16.1.2 over a maximum of 30 hops: 
1 了 6 ms 8 ms L7216=051 Router2 
213 ms 10 ms 10 ms VI21632 Routerd 
3 7 ms 16 ms 16 ms 172.16<4 二 =Router3 
4 23 ms 24 ms 25 ms on 
(6) 在 PC1 上 测试 到 PC2 的 连接 。 
PC>ping 172.16.2.2 -静态 路 由 配置 正确 
Pinging 172.16.2.2 with 32 bytes of data: 
Reply from 172.16.2.2: bytes=32 time=15ms TTL=253 
Reply from 172.16.2.2: bytes=32 time=13ms TTL=253 
Reply from 172.16.2.2: bytes=32 time=16ms TTL=253 
Reply from 172.16.2.2: bytes=32 time=19ms TTL=253 
(7) 在 Router3 上 删除 到 172.16.0.0/24 网 段 的 路 由 。 
Router (config) #no ip route 172.16.0.0 255.255.255.0 
Router#show ip route 
Gateway of last resort is not set 
172.16.0.0/24 is subnetted, 5 subnets 
172.16.1.0 is directly connected, FastEthernet0/0 
LLo-2s0 I/O via L126-402 
Dolo 3 0 LI/ via L126 A422 
172.16.4.0 is directly connected, Serial2/0 
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-- 没 有 到 172.16.0.0/24 网 段 的 路 由 信息 


(8) 在 PC1 上 测试 到 PCo0 的 连接 ， 发 现 数据 包 不 能 返回 。 


PC>Sping 72216.1.2 
Pinging 172.16.1.2 with 32 bytes of data: 
Request timed out. 
Request timed out. 
Request timed out. 
Request timed out. 
PC>tracert 172.16.1.2 -- 使 用 Tracert 跟踪 数据 包 路 径 ，172 .16.3.2 以 后 的 请 求 超时 
Tracing route to 172.16.1.2 over a maximum of 30 hops: 
1 9 ms 7 ms 8 ms T12160-0=1 
12.ms 14 ms 14 ms 2 


3 去 支 支 Request timed out. 
全 和， 去 友 Request timed out. 
Se 去 友 Request timed out. 


(9) 在 PC0 上 测试 到 PC1 的 连接 。 


Pe>ping. 72.16:0>2 

Pinging 172.16.0.2 with 32 bytes of data: 

Reply from 172.16.1.1: Destination host unreachable.-- 提 示 目 标 主 机 不 可 到 达 
Reply from 172.16.1.1: Destination host unreachable. 

Reply from 172.16.1.1: Destination host unreachable. 

Reply from 172.16.1.1: Destination host unreachable. 


5.5.2 实验 2: 使 用 默认 路 由 


1. 实验 目的 

使 用 默认 路 由 简化 路 由 表 。 

2. 网 络 拓扑 和 实验 环境 

如 图 5-18 所 示 ， 已 经 将 路 由 器 的 所 有 接口 和 计算 机 的 人 地 址 按照 网 络 拓扑 进行 配置 。 


172.16.0.0 172.16.3.1 
255.255.255.0 255.255 255.0 
172.16.2.0 


172.16.5.2 255 255 255.0 
ee 2950T-24 172.16.3.2 255 255.255.0 
Switchl 255 255 .255.0 
PC1 pa er2/0 Ser2/ D/O FeD/, 
2 2950T-24 站 
Router-PT A FE- 了 
Router-PT oubard Switch2 
172.16.1.0 Routerd 。 172.16.5.1 
255.255.255.0 255.255.255.0 


172.16.4.2 
255.255.255.0 


ee 2950T-24 RouterPTIT2.16.4.1 
pop SwitchO Router3 255.255.255.0 


全 图 5-18 网 络 拓扑 
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3. 实验 步骤 
(1) 在 Router2 上 运行 : 


Router>en 一 -进入 特权 模式 

Router#config 七 一 -进入 全 局 配置 模式 

Router (config) #hostname Router2 一 -更 改 路 由 器 名 

Router2 (config) #ip route 0.0.0.0 0.0.0.0 172.16.3.2 -- 添 加 默认 路 由 
(2) 在 Router3 上 运行 : 

Router3 (config) #ip route 0.0.0.0 0.0.0.0 172.16.4.2 -- 添 加 默认 路 由 


(3) 在 Routerl 上 运行 : 
Routerl (config) #ip route 0.0.0.0 0.0.0.0 172.16.5.1 -- 添 加 默认 路 由 
(4) 在 Router0 上 运行 : 
Router0 (config) #ip route 172.16.0.0 255.255.255.0 172.16.3.1 
一 -添加 路 由 
Router0 (config) #ip route 172.16.1.0 255.255.255.0 172.16.4.1 
一 添加 路 由 
Router0 (config) #ip route 172.16.2.0 255.255.255.0 172.16.5.2 
一 添加 路 由 
(5) 在 PC1 上 ping PCO 和 PC2: 
PC>ping 172.16.1.2 
Pinging 172.16.1.2 with 32 bytes of data: 
Request timed out 
Reply from 172.16.1.2: bytes=32 time=20ms TTL=125 
Reply from 172.16.1.2: bytes=32 time=20ms TTL=125 
Reply from 172.16.1.2: bytes=32 time=15ms TTL=125 
Ping Statistics For L172.16:1:2% 
Packets: Sent = 4, Received = 3, Lost = 1 (25% loss) ， 
Approximate round trip times in milli-seconds: 


Minimum = 1l5ms, Maximum = 20ms, Average = 18ms 


bl 遇 第 一 个 数据 包 请 求 超时 。 想 一 下 为 什么 ?第 一 个 数据 包 需要 ARP 解析 网 关 的 


MAC 地 址 ， 后 面 的 数据 包 则 不 需要 ARP 解析 了 。 


PC>ping 172.16.2.2 


使 用 默认 路 由 可 以 精简 末端 路 由 器 的 路 由 表 。 
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5.5.3 实验 3: 使 用 默认 路 由 和 路 由 汇总 
1. 实验 目的 
使 用 默认 路 由 和 路 由 汇总 简化 路 由 表 。 
2. 网 络 拓扑 和 实验 环境 
如 图 5-19 所 示 ， 已 经 将 路 由 器 的 所 有 接口 和 计算 机 的 他 地 址 按照 网 络 拓扑 配置 。 


192. 168.4.0 192.168.5.0 


Router-PT 
Router-PT = 
Router-PT Router3 
Router-pT Router2 

Routerl 


Switch-PT 


CS 二 
全 图 5-19 网 络 拓扑 
3. 实验 步骤 
(1) 在 Router0 上 ， 添 加 默认 路 由 。 
Router>en 


Router#config 七 
Router (config) #ip route 0.0.0.0 0.0.0.0 192.168.1.2 
(2) 在 Routerl 上 ， 添 加 默认 路 由 和 路 由 。 
Router (config) #ip route 0.0.0.0 0.0.0.0 192.168.2.2 
Router (config) #ip route 192.168.0.0 255.255.255.0 192.168.1.1 
(3) 在 Router2 上 ， 添 加 默认 路 由 和 路 由 。 
Router (config) #ip route 192.168.0.0 255.255.254.0 192.168.2.1 
一 将 0 和 1 子 网 合并 
Router (config) #ip route 0.0.0.0 0.0.0.0 192.168.3.2 
(4) 在 Router3 上 ， 添 加 默认 路 由 和 路 由 。 
Router (config) #ip route 192.168.5.0 255.255.255.0 192.168.4.2 
--5 和 6 子 网 不 能 合并 
Router (config) #ip route 192.168.6.0 255.255.255.0 192.168.4.2 
Router (config) #ip route 0.0.0.0 0.0.0.0 192.168.3.1 
(5) 在 Router4 上 ， 添 加 默认 路 由 和 路 由 。 
Router (config) #ip route 192.168.6.0 255.255.255.0 192.168.5.2 
Router (config) #ip route 0.0.0.0 0.0.0.0 192.168.4.1 
(6) 在 Router5 上 ， 添 加 默认 路 由 和 路 由 。 


Router (config) #ip route 0.0.0.0 0.0.0.0 192.168.5.1 
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(7) 在 PCO 上 pingPCI1。 
PC>ping 192.168.6.2 
5.5.4 实验 4: 网 络 排 错 
1. 实验 目的 
能 够 根据 网 络 畅通 的 原理 排除 网 络 故障 。 
2. 网 络 拓扑 和 实验 环境 
如 图 5-20 所 示 ， 网 络 拓扑 和 耳 地 址 已 经 按照 图 示 的 地 址 配置 好 。 现 在 的 情况 是 PC0 不 


能 ping 通 PC1。 
2 tg2.188.0.0/24 ties 192. 168.2.0/24 2 
POP Swehy "人 CR 
全 图 5-20 网 络 拓扑 
3. 实验 要 求 
你 需要 检查 网 络 中 的 路 由 器 和 计算 机 的 配置 ， 找 到 原因 ， 使 PC0 和 PCI1 通信 。 
4. 实验 步骤 


以 下 实验 将 会 按照 顺序 逐一 检查 网 络 设备 的 配置 ， 确 保 数据 包 能 够 往返 于 PCO 和 PC1。 
(1) 检查 PC0 的 全 配置 。 


PC>ipconfig 

TP MOIresms -922168-0e2 
Subnet" Mask .ea ue ee -255255s 
Default Gatomaye aa ne = L92168505F 
配置 正确 。 


(2) 检查 Router0 的 路 由 表 。 
Router#show ip route 
已 192.168.0.0/24 is directly connected, FastEthernet0/0 
忆 192.168.1.0/24 is directly connected, Serial2/0 
S 192.168.2.0/24 [1/0] via 192.168.1.2 
有 到 达 192.168.2.0/24 网 段 的 路 由 。 
(3) 检查 Routerl 的 路 由 表 。 
Router#show ip route 
Gateway of last resort is not set 
S 192.168.0.0/24 [1/0] via 192.168.1.1 
eC 192.168.1.0/24 is directly connected, Serial3/0 
站 192.168.2.0/24 is directly connected, FastEthernet0/0 
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有 到 达 192.168.0.0/24 网 段 的 路 由 。 


(4) 检查 PC1 的 他 配置 。 


下 


PC>ipconfig 

1 SD 时 
SUbnet MAS ee a =2509052550255:0 
Dorault Gatomam ee ss se Od 


原来 PC1 没有 配置 网 关 。 


设 有 下 面 4 条 路 由 : 170.18.129.0/24 、170.18.130.0/24 、 170.18.132.0/24 和 
170.18.133.0/24， 如 果 进 行路 由 汇聚 ， 能 覆盖 这 4 条 路 由 的 地 址 是 。 

A. 170.18.128.0/21 B. 170.18.128.0/22 

C. 170.18.130.0/22 D. 170.18.132.0/23 


设 有 两 条 路 由 21.1.193.0/24 和 21.1.194.0/24， 如 果 进 行路 由 汇聚 , 履 六 这 两 条 路 由 的 
地 址 是  _。 


A. 21.1.200.0/22 B. 21.1.192.0/23 
C. 21.1.192.0/21 D. 21.1.224.0/20 
. 路 由 器 收 到 一 个 他 数据 包 , 其 目标 地 址 为 202.31.17.4, 与 该 地 址 匹配 的 子 网 是 ___。 
A. 202.31.0.0/21 B. 202.31.16.0/20 
C. 202.31.8.0/22 D. 202.31.20.0/22 


设 有 两 个 子 网 210.103.133.0/24 和 210.103.130.0/24， 如 果 进 行路 由 汇聚 , 得 到 的 网 络 
地 址 是 。 


A. 210.103.128.0/21 B. 210.103.128.0/22 
C. 210.103.130.0/22 D. 210.103.132.0/20 
在 路 由 表 中 设置 一 条 默认 路 由 ， 目 标 地 址 应 为 (1) _，, 子 网 掩 码 应 为 (2) 。 
(1) A. 127.0.0.0 B. 127.0.0.1 C. 1.0.0.0 D. 0.0.0.0 
(2) A. 0.0.0.0 B. 255.0.0.0 C. 0.0.0.255 D. 255.255.255.255 
. 网 络 122.21.136.0/24 和 122.21.143.0/24 经 过 路 由 汇聚 ， 得 到 的 网 络 地 址 是 8 
A. 122.21.136.0/22 B. 122.21.136.0/21 
C. 122.21.143.0/22 D. 122.21.128.0/24 
. 路 由 器 收 到 一 个 数据 包 ， 其 目标 地 址 为 195.26.17.4， 该 地 址 属于 子 网 。 
A. 195.26.0.0/21 B. 195.26.16.0/20 
C. 195.26.8.0/22 D. 195.26.20.0/22 
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LA 
2 
3.B 
4.C 
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在 本 章 中 ， 将 会 讲述 配置 路 由 器 使 用 动态 路 由 协议 自动 构建 路 由 表 。 讲 述 RIP (路 由 信 
息 协 议 )、EIGRP〈 增 强 内 部 网 关 路 由 协议 ) 以 及 OQSPF〔 开 放 式 最 短路 径 优 先 ) 的 工作 特点 
和 配置 方法 。 


配置 RIP 和 EIGRP 支持 变 长 子 网 和 不 连续 子 网 , 配置 EIGRP 进行 手动 汇总 , 配置 OSPF 
协议 多 区 域 。 
本 章 主要 内 容 : 


" 什么 是 动态 路 由 协议 

a RIP 协议 的 特点 和 配置 

ma ”RIP 协议 的 两 个 版 本 

" ”EIGRP 协议 的 特点 和 配置 

a ”EIGRP 自动 汇总 和 手动 汇总 
= “OSPF 协议 的 特点 和 配置 

= OSPF 多 区 域 和 汇总 
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EX ts 


如 图 6-1 所 示 , 管理 


E 员 为 网 络 


中 的 路 由 器 添加 静态 路 由 ， 使 得 
10.120.2.0/24 网 段 与 172.16.1.0/24 
网 段 沿路 径 @ 通 信 。 如果 路 由 器 C 
与 路 由 器 D 之 间 的 连接 断 开 ， 这 
两 个 网 络 将 不 能 通信 。 因 为 静态 路 


选择 其 他 路 径 。 


由 不 会 随 着 连接 状态 的 变化 自动 


岗 在 需要 在 网 络 中 添加 一 个 


网 段 172.16.2.0/24, 如 果 使 用 静态 
路 由 ,管理 员 需 要 配置 网 络 中 的 所 
有 路 由 器 ,添加 到 新 增加 的 网 段 的 
路 由 。 网络 中 路 由 器 数量 大 , 网络 
管理 员 的 工作 量 将 很 大 。 

如 果 需 要 将 172.16.1.0/24 网 段 更 改 为 172.16.6.0/24 网 段 , 管理 员 需 要 配置 网 络 中 的 相关 
路 由 器 , 删除 到 172.16.1.0/24 网 段 的 路 由 , 添加 到 172.16.6.0/24 网 段 的 路 由 , 工作 量 也 很 大 。 

总 之 ， 静 态 路 由 不 会 随 着 网 络 链 路 状态 的 变化 自动 选择 最 佳 路 径 ， 网 络 中 增加 或 修改 了 
网 段 ， 都 需要 人 工 调 整 网 络 中 路 由 器 的 路 由 表 。 有 没有 办 法 让 路 由 器 自动 检测 到 网 络 中 有 哪 
些 网 段 ， 自 己 选 择 到 各 个 网 段 的 最 佳 路 径 ? 有 ， 屠 就 是 下 面 要 讲 的 动态 路 由 。 

动态 路 由 就 是 配置 网 络 中 的 路 由 器 运行 动态 路 由 协议 , 路 由 表 项 是 通过 相互 连接 的 路 由 
器 之 间 交 换 彼此 信息 ， 然 后 按照 一 定 的 算法 优化 出 来 的 ， 而 这 些 路 由 信息 是 在 一 定时 间 间 隙 
里 不 断 更 新 的 ， 以 适应 不 断 变化 的 网 络 ， 以 随时 获得 最 优 的 寻 径 效果 。 

动态 路 由 协议 有 以 下 功能 : 


”能 够 知道 有 哪些 邻居 路 由 器 。 

”学 习 到 网 络 中 有 哪些 网 段 。 

”能 够 学 习 到 到 某 个 网 段 的 所 有 路 径 。 

" ”能 够 从 众多 的 路 径 中 选择 最 佳 的 路 径 。 
”能 够 维护 和 更 新 路 


信息 。 


全 图 6-1 大 规模 网 络 


下 面 将 会 讲解 动态 路 由 协议 RIP、EIGRP 和 OSPF 协议 的 特点 和 配置 过 程 。 


| 62 RIP 协议 


路 由 信息 协议 RIP (Routing Information Protocol) 是 一 个 真正 的 距离 矢量 路 由 选择 协议 。 
它 每 隔 30 秒 钟 就 送出 自己 完整 的 路 由 表 到 所 有 激活 的 接口 。RIP 只 使 用 跳 数 来 决定 到 达 远 
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程 网 络 的 最 佳 方式 ， 并 且 在 默认 时 它 所 人 允许 的 最 大 跳 数 为 15 跳 ， 也 就 是 说 16 跳 的 距离 将 被 
认为 是 不 可 达 的 。 

在 小 型 网 络 中 ，RIP 会 运转 良好 ， 但 是 对 于 使 用 慢 速 WAN 连接 的 大 型 网 络 或 者 安装 有 
大 量 路 由 器 的 网 络 来 说 ， 它 的 效率 就 很 低 了 。 即 便 是 网 络 没有 变化 ， 也 是 每 隔 30 秒 发 送 路 
由 表 到 所 有 激活 的 接口 ， 占 用 网 络 带宽 。 

当 路 由 器 A 意外 故障 down 机 ， 需 要 由 它 的 邻居 路 由 器 B 将 路 由 器 A 所 连接 的 网 段 不 
可 到 达 的 信息 通告 出 去 。 路 由 器 B 如 何 断定 某 个 路 由 失效 ? 如 果 路 由 器 B 180 秒 没有 得 到 关 
于 某 个 指定 路 由 的 任何 更 新 ， 就 认为 这 个 路 由 失效 。 所 以 这 个 周期 性 更 新 是 必须 的 。 

RIP 版 本 1 使 用 有 类 路 由 选择 ， 即 在 该 网 络 中 的 所 有 设备 必须 使 用 相同 的 子 网 掩 码 ， 这 
是 因为 RIP 版 本 1 不 发 送 带 有 子 网 掩 码 信息 的 更 新 数据 。RIP 版 本 2 提供 了 被 称 为 前 级 路 由 
选择 的 信息 ， 并 利用 路 由 更 新 来 传送 子 网 掩 码 信息 ， 这 就 是 所 谓 的 无 类 路 由 选择 。 

RIP 是 典型 的 距离 矢量 路 由 选择 协议 ,距离 失 量 路 由 选择 算法 发 送 完整 的 路 由 表 到 相 邻 
的 路 由 器 ， 然 后 ， 相 邻 的 路 由 器 会 将 接收 到 的 路 由 表 项 与 自己 原 有 的 路 由 表 进 行 组 合 ， 以 完 
善 路 由 器 的 路 由 表 。 

RIP 只 使 用 跳 数 来 决定 到 达 某 个 互联 网 络 的 最 佳 路 径 。 如 果 RIP 发 现 对 于 同一 个 远程 
络 存在 有 不 止 一 条 链 路 , 并 且 它 们 又 都 具有 相同 的 跳 数 , 则 路 由 器 将 自动 执行 循环 负载 均衡 。 
RIP 可 以 对 多 达 6 个 相同 开销 的 链 路 实现 负载 均衡 (默认 为 4 个 )。 

下 面 将 讲解 RIP 协议 的 配置 。 


6.2.1 RIP 的 配置 过 程 


下 面 将 会 以 实例 演示 RIP 配置 的 过 程 ， 会 讲解 过 程 中 使 用 的 一 些 参数 。 
打开 随 书 光盘 中 第 6 章 练习 “01 动态 路 由 RIPpkt”， 网 络 拓扑 和 IP 地 址 规划 如 图 6-2 
所 示 ， 网 络 中 的 路 由 器 和 人 P 地 址 已 经 配置 好 。 


2 fl 192. 168. 3. 0/24 


192. 168. 2. 0/24 


a 
PC-PT 
2 PC2 


0 


192. 168. 6.0/24 


PC1 
2 192.168.0.0724 


全 图 6-2 网 络 拓扑 
以 下 步骤 将 会 演示 在 A、B、C、D 和 王 路 由 器 上 启用 RIP 协议 ， 查 看 路 由 器 上 的 路 由 
表 ， 验 证 配置 RIP 时 ，network 命令 的 作用 ， 跟 踪 数 据 包 从 PC0 到 PC2 的 路 径 ， 验 证 当 最 佳 
路 径 不 可 用 后 ，RIP 能 够 自动 更 新 路 由 表 。 
操作 步骤 如 下 。 
(1) 在 路 由 器 A 上 ， 启 用 和 配置 RIP 协议 。 
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RA>en 
RA#config 七 
RA (config) #router rip -- 在 路 由 器 上 启用 RIP 协议 
RA (config-router) #network 192.168.0.0 
RA (config-router) #network 192.168.1.0 
RA (config-router) #network 192.168.2.0 
RA (config-router) #network 192.168.7.0 
就 这 几 条 命令 就 可 以 了 ， 比 静态 路 由 简单 多 了 。 
在 RA (config-router) # 提 示 符 下 输入 
的 network 命令 用 于 告诉 此 路 由 选择 协议 哪 gan 
个 有 类 网 络 可 以 进行 通告 。 由 于 路 由 器 A 连 
着 4 个 C 类 网 络 ， 要 network 这 4 个 网 络 。 
注意 ， 我 没有 输入 子 网 ， 而 只 有 有 类 网 络 地 
址 ( 即 所 有 的 子 网 位 和 主机 位 都 是 0)。 这样 
这 4 个 接口 连接 的 网 段 都 能 够 通告 给 其 他 路 
由 器 ， 同 时 这 些 接口 也 能 够 接收 其 他 路 由 器 
思考 一 下 : 如 图 6-3 所 示 ， 如 果 路 由 器 2 172.168.0.0124 
A 连 着 以 下 网 络 ，network 应 该 怎样 写 呢 ? 
路 由 器 A 的 Fo 和 Fl 接口 连接 的 网 自 和 
属于 同一 个 B 类 地 址 172.168.0.0， 路 由 器 A 的 S2 和 S3 接口 连接 的 网 段 是 同一 个 A 类 地 址 
12.0.0.0， 因 此 需要 输入 以 下 命令 让 这 4 个 接口 参与 到 RIP 的 工作 中 。 


RA (config) #router rip 


RA (config-router) #network 172.168.0.0 
RA (config-router) #network 12.0.0.0 
下 面 的 配置 是 错误 的 ，A 类 地 址 子 网 掩 码 默认 是 255.0.0.0， 子 网 位 和 主机 位 应 归 0， 
network 后 就 不 能 写成 12.168.0.0。 
RA (config-router) #network 12.168.0.0 
(2) 在 路 由 器 B 上 ， 启 用 和 配置 RIP 协议 。 
RB>en 
RB#config 七 
RB (config) #route rip 
RB (config-router) #network 192.168.2.0 
RB (config-router) #network 192.168.3.0 
RB#show ip protocols 一 -显示 配置 的 动态 路 由 协议 
Routing Protocol is "rip" 
Sending updates every 30 seconds, next due in 4 seconds 


Invalid after 180 seconds, hold down 180, flushed after 240 


Outgoing update filter list for all interfaces is not set 
Incoming update filter list for all interfaces is not set 
Redistributing: rip 


Default version control: send version 1, receive any version 


Interface Send Recv Triggered RIP Key-chain 
Serial3/0 1 | 
Serial2/0 让 


Automatic network summarization is in effect 

Maximum path: 4 

Routing for Networks: 

192.168.2.0 --RIP 协议 配置 的 network 两 个 网 络 
L23603a0 

Passive Interface (s): 


Routing Information Sources: 


Gateway Distance Last Update 
L925 602 120 00:00:10 
Distance: (default is 120) --RIP 协议 默认 管理 距离 


(3) 在 路 由 器 C 上 ， 启 用 和 配置 RIP 协议 。 


RC (config) #router rip 

RC (config-router) #net 192.168.3.0 --network 可 以 简写 为 net 
RC (config-router) #net 192.168.4.0 

RC (config-router) #net 192.168.5.0 


(4) 在 路 由 器 D 上 ， 启 用 和 配置 RIP 协议 。 


RD (config) #router rip 
RD (config-router) #net 192.168.5.0 
RD (config-router) #net 192.168.6.0 


(5) 在 路 由 器 E 上 ， 启 用 和 配置 RIP 协议 。 


RE (config) #router rip 
RE (config-router) #net 192.168.6.0 
RE (config-router) #net 192.168.7.0 


RC#show ip route 


Gateway of last resort is not set 


二 
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(6) 现在 网 络 中 的 路 由 器 都 已 经 配置 了 RIP 协议， 在 路 由 器 C 上 ， 查 看 路 由 表 。 


及 192.168.0.0/24 [120/2] via 192.168.3.1, 00:00:13, Serial2/0 --@ 
192.168.1.0/24 [120/2] via 192.168.3.1, 00:00:13, Serial2/0 --®@ 


R 
R 192.168.2.0/24 [120/1] via 192.168.3.1, 00:00:13, Serial2/0 --®@ 
RE 


192.168.3.0/24 is directly connected, Serial2/0 


--@® 
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192.168.4.0/24 
192.168.5.0/24 
192.168.6.0/24 
-168.7.0/24 


2 


is directly 
is directly 
LEZ20/D] wia 
[120/2] via 


[120/2] via 192 
R 代表 通过 RIP 协议 学 习 到 的 路 由 。 


C 代表 直 连 的 网 络 。 


--@ 
sa) 
192.168.5.1, 00:00:03, Serial3/0 --@ 


connected, FastEthernet0/0 


connected, Serial3/0 


192.168.3.1, 00:00:13, Serial2/0 --@ 


168.5.1, 00:00:03, Serial3/0 --@ 


注意 看 第 @ 条 和 第 @ 条 路 由 ，[120/2]，120 表示 管理 距离 ，2 代表 度量 值 ， 表 示 到 达 
192.168.0.0/24 和 192.168.1.0/24 网 段 需要 经 过 两 个 路 由 器 ，via 后 面 的 地 址 是 下 一 跳 转发 给 


哪个 地 址 。 


了 看 第 加 条 和 加 条 路 由 ,这 两 条 路 由 代表 到 达 192.168.7.0/24 网 段 有 两 条 等 价 路 径 。 


(7) 在 路 由 器 A 上 ， 不 让 192.168.0.0/24 网 段 参与 RIP 协议 。 
RA (config) #route rip 


RA (config-router) #no network 192.168.0.0 -- 取 消 这 个 C 类 网 络 参与 RIP 协议 
(8) 在 路 由 器 C 上 ， 查 看 路 由 表 ， 看 看 是 否 还 有 到 192.168.0.0 网 段 的 路 由 。 


RC#clear ip route *: 
习 到 正确 路 由 。 


RC#show ip route 


该 命令 将 会 清空 路 由 器 学 习 到 的 所 有 路 由 ， 稍 等 一 会 儿 就 会 重新 学 


Gateway of last resort is not set 


R 192.168.1.0/24 
R 192.168.2.0/24 
全 192.168.3.0/24 
C 192.168.4.0/24 
CG 192.168.5.0/24 
R 192.168.6.0/24 
及 192.168.7.0/24 


[120/2] via 
[120/1] via 
is directly 
is directly 
is directly 
[120/1] via 
[120/2] via 


192.168.3.1, 00:00:00, Serial2/0 
192.168.3.1, 00:00:00, Serial2/0 
connected, Serial2/0 

connected, FastEthernet0/0 
connected, Serial3/0 
192.168.5.1, 00:00:13, Serial3/0 
192.168.5.1, 00:00:13, Serial3/0 
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[120/2] via 192.168.3.1, 00:00:00, Serial2/0 
可 以 看 到 已 经 没有 到 192.168.0.0/24 网 段 的 路 由 了 。 
(9) 在 PC0 上 ， 跟 踪 数 据 包 到 PC2 的 路 径 。 
PC>tracert 192.168.4.2 


Tracing route to 192.168.4.2 over a maximum of 30 hops: 


2 ms 10 ms 5 ms 192.168.1.1 一 -路 由 器 A 
2 7ms 7 ms 12 ms 192.168.2.2 一 -路 由 器 B 
3 12ms 9 ms 11 ms 192.168.3.2 一 -路 由 器 C 


中 
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上 


4 18 ms 15 ms 20 ms 192-168.4.2 --PC4 
Trace complete. 
可 以 看 到 这 两 个 网 段 通信 途径 路 由 器 A、B 和 C。 如 图 6-4 所 示 ， 这 是 经 过 路 由 最 少 也 
就 是 跳 数 最 少 的 路 径 ，RIP 协议 认为 这 是 最 佳 路 径 ， 哪 怕 是 A 到 B 和 B 到 C 之 间 连 接 带 宽 
是 56Kb/s，A 到 E、E 到 D、D 到 C 之 间 的 连接 带宽 是 1000Mb/s，RIP 协议 也 认为 A-B-C 
是 最 好 的 路 径 。 因 为 RIP 协议 的 度量 值 就 是 跳 数 ， 没 有 考虑 带宽 和 延迟 。 


192.168.2.0/24 2 1 192. 168. 3. 0/24 


| 1 区 2 


2 PC-PT 
崩 

PC-PT Pez 
PC0 


192. 168. 1. 0/24 


ges168:5/0/24 192-168.4.0/2¢ 
192. 168.7. 0/24 


1 
192. 188. 6. 0/24 


A 

PC-PT 
PC1 
和 192. 168. 0. 0/24 


全 图 6-4 RIP 选择 的 最 佳 路 径 
(10) 如 图 6-4 所 示 ， 将 路 由 器 B 的 S3 接口 关闭 ， 模 拟 该 链 路 故障 。 看 看 RIP 协议 是 否 
自动 调整 路 由 表 ， 以 保证 网 络 畅通 。 


RB (config) #interface Serial 3/0 

RB (config-if) #sh -- 关 闭 端口 
(11) 在 PC0 上 跟踪 到 达 PC2 的 数据 包 路 径 。 

PC>tracert 192-168-4.2 

Tracing route to 192.168.4.2 over a maximum of 30 hops: 

1 18 ms 5ms 6 ms 192.168.1.1 ” -- 路 由 器 A 
14 ms 14 ms 16 ms 192.168.7.2  -- 路 由 器 忆 
32 ms 15 ms 25 ms 192.168.6.2  -- 路 由 器 D 
39 ms 19 ms 25 ms 192.168.5.2 ” -- 路 由 器 C 
Ss 24 ms 57 ms E92 69420 ==PC2 

可 以 看 到 ， 如 果 最 佳 路 径 不 可 用 了 ，RIP 协议 会 自动 选择 次 一 点 的 路 径 。 一 旦 最 佳 路 径 

恢复 ， 则 会 自动 选择 最 佳 路 径 。 


pW DD 


6.2.2 RIPv1 和 RIPv2 


RIPv1 被 提出 较 早 ， 其 中 有 许多 缺陷 。RIPv2 定义 了 一 套 有 效 的 改进 方案 ， 新 的 RIPv2 
路 由 信息 通告 中 包括 子 网 掩 码 信息 ， 所 以 支持 变 长 子 网 ， 关 闭 自动 汇总 就 支持 不 连续 子 网 ， 
组 播 方式 发 送 路 由 更 新 报 文 ， 组 播 地 址 为 224.0.0.9， 减 少 网 络 与 系统 资源 的 消耗 ， 并 提供 了 
验证 机 制 ， 增 强 了 安全 性 。 

下 面 为 大 家 介绍 什么 是 等 长 子 网 、 变 长 子 网 和 不 连续 子 网 。 明 白 了 这 些 ， Eh 


95 


莫 基 
计算 机 网 络 (修订 版 ) 


么 时 候 用 RIPv1， 什 么 情况 下 必须 用 RIPv2。 


1. 等 长 子 网 

等 长 子 网 就 是 将 一 个 网 络 等 
分 成 几 个 网 段 , 每 个 网 段 的 子 网 掩 
码 都 一 样 。 如 图 6-5 所 示 ， 你 有 一 
个 C 类 网 络 192.168.0.0/24 地 址 可 
用 , 你 的 网 络 有 5 个 网 段 , 每 个 网 
段 中 计算 机 的 数量 最 多 30 个 。 如 
果 不 考 虑 地 址 浪费 , 你 可 以 将 该 C 
类 网 络 等 分 为 8 个子 网 , 可 以 拿 出 
其 中 的 任意 五 个 子 网 分 配给 你 的 
网 络 。 

网 络 中 的 各 个 子 网 的 子 网 掩 
码 都 一 样 , 为 255.255.255.224, 这 
就 是 等 长 子 网 的 划分 。 

RIPv1 支持 等 长 子 网 划分 。 虽 
然 RIPvl 在 交换 路 由 信息 时 不 包 
括 子 网 掩 码 信息 ,但 是 网 络 中 的 路 
由 器 就 以 自己 的 子 网 拖 码 断定 远 


程 网 段 的 子 网 拖 码 ， 所 以 它 只 支持 等 长 子 网 。 


2.， 变 长 子 网 

如 图 6-6 所 示 ， 网 络 中 还 是 5 
个 网 络 ， 其 中 一 个 网 段 需要 部 署 
100 台 计 算 机 ， 
50 台 计 算 机 ， -个 网 段 需要 部 署 
30 台 计 算 机 , 路 由 器 之 间 连 接 只 需 
要 两 个 IP 地 址 。 将 一 个 C 类 网 络 
192.168.0.0/24 进行 子 网 划分 。 子 网 
地 址 范围 和 子 网 掩 码 如 图 中 所 示 ， 
每 个 网 段 的 子 网 掩 码 不 一 样 。 

这 就 是 变 长 子 网 ，RIPv1 不 支 
持 变 长 子 网 。 你 需要 明确 将 RIP 的 
版 本 更 改 为 RIPv2， 命 令 如 下 : 


Router (config)#router rip 


Router ( config-router ) 


#version 2 


变 长 子 网 对 应 的 实验 为 本 章 6.7.1“ 实 验 1: 


将 192.168.0.0/24 等 分 为 8 个 子 网 


192. 168.0. 96/27 192. 168.0. 160727 


全 图 6-5 等 长 子 网 


192. 168.0. 128 
255. 255. 255. 192 255. 255. 255. 128 


全 图 6-6 变 长 子 网 


配置 RIPv2 支持 变 长 子 网 ”。 


3. 不 连续 子 网 

如 图 6-7 所 示 ，A 区 域 是 
192.168.0.0/24 这 个 C 类 网络 划分 的 子 
网 。B 区 域 是 192.168.1.0/24 这 个 C 类 
网 络 划 分 的 子 网 。 这 就 意味 着 
192.168.0.0/24 这 个 C 类 网 络 划分 的 子 
网 被 男 一 个 C 类 网 络 隔 开 ， 就 是 不 连 
续 子 网 。 

RIPv2 会 自动 在 类 的 边界 上 汇总 ， 
也 就 是 Router0 向 Routerl 通告 路 由 信 
息 时 ， 直 接 告 诉 Routerl ， 我 知道 
192.168.0.0/24 网 段 如 何 转发 。 同 时 


Ronuter2 向 Routerl 通告 路 由 信息 时 ， PC-P 

i i 和 pco 

直接 告诉 Routerl ， 我 知道 ia 192. 168. 0.64 192. 168. 0. 128 
192.168.0.0/24 网 段 如 何 转 发 。 Routerl E30 
就 会 认为 玫 [两 

就 会 认为 到 192.168.0.0/24 有 两 条 可 用 A 图 6-7 不 连续 子 网 


的 路 径 。 很 显然 这 是 错误 的 。 

要 想 让 RIPv2 支持 不 连续 子 网 ， 必 须 关 闭 自 动 汇总 。 关 闭 自 动 汇总 的 命令 如 下 : 

Router (config) #router rip 

Router (config-router) #version 2 

Router (config-router) #no auto-summary 

不 连续 子 网 对 应 的 实验 为 本 章 6.7.2 小 节 “ 实 验 2: 配置 RIPv2 支持 不 连续 子 网 ”。 

4. 总 结 

下 表 6-1 比较 了 RIPv1 和 RIPv2 对 等 长 连续 子 网 、 变 长 连续 子 网 以 及 不 连续 子 网 的 支持 
情况 。 


等 长 连续 子 网 


变 长 连续 子 网 
不 连 绪 了 网 


| 63 EIGRP 协议 


增强 型 内 部 网 关 路 由 选择 协议 EIGRP (Enhanced Interior Gateway Routing Protocol) 是 
Cisco 的 一 个 专用 协议 , 它 可 以 运行 在 Cisco 路 由 器 上 。 如 果 你 的 网 络 中 有 Cisco 和 华为 两 个 
厂商 的 路 由 器 ， 你 就 不 能 使 用 EIGRP 协议 。 由 于 EIGRP 是 目前 两 个 最 为 流行 的 路 由 选择 协 
议 之 一 ， 因 此 ， 理 解 它 对 你 来 说 是 非常 重要 的 。 
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EIGRP 是 内 部 网 关 路 由 选择 协议 IGRP (Interior Gateway Routing Protocol) 的 增强 版 ， 
它们 的 关系 类 似 于 RIPv2 和 RIPv1。EIGRP 支持 变 长 子 网 , 关闭 路 由 汇总 后 支持 不 连续 子 网 。 

EIGRP 的 特点 如 下 。 

" ”使 用 Hello 消息 发 现 邻 居 ， 然 后 交换 路 由 信息 ， 使 用 Hello 包 维持 邻居 表 。 

" ”有 备用 路 径 。 当 最 佳 路 径 不 可 用 时 ， 立 即使 用 备用 路 径 。 

" ”度量 值 默 认为 带宽 和 延迟 ， 也 可 以 添加 负载 、 可 靠 性 以 及 最 大 传输 单元 (MTU) 。 

" ”默认 支持 4 条 链 路 的 不 等 代价 的 负载 均衡 ， 可 以 更 改 为 最 多 6 条 。 

" ”最 大 跳 数 为 255 (默认 是 100 跳 ) 。 

" ”触发 式 更 新 路 由 表 ， 即 网 络 发 生变 化 时 ， 增 量 更 新 。 

= 支持 路 由 的 自动 汇总 。 

”支持 大 的 网 络 ， 可 以 使 用 自制 系统 号 来 区 别 可 共享 路 由 信息 的 路 由 器 集合 , 路 由 信 

息 只 可 以 在 拥有 相同 自制 系统 号 的 路 由 器 间 共 享 。 

”管理 距离 是 90。 

EIGRP 支持 邻居 ， 这 些 邻 居 是 通过 Hello 过 程 来 发 现 的 ， 并 且 邻 居 状 态 是 要 受 监视 的 ， 
像 许多 距离 矢量 协议 一 样 ， 大 部 分 路 由 器 是 绝 不 会 了 解 到 第 一 手 路 由 更 新 的 。 

EIGRP 使 用 了 一 系列 的 表 来 保存 这 些 关 于 环境 的 重要 信息 。 

”邻居 关系 表 : 邻居 关系 表 (通常 又 称 为 邻居 表 ) 记录 着 有 关 路 由 器 与 已 建立 起 来 的 

邻居 关系 的 信息 。 
" ”拓扑 表 : 拓扑 表 保存 着 在 互联 网 络 中 每 个 路 由 器 从 每 个 邻居 处 接收 到 的 路 由 通告 。 
" ”路 由 表 : 路 由 表 保存 着 当前 使 用 着 的 用 于 路 由 判断 的 路 由 。 


6.3.1 EIGRP 的 配置 过 程 


下 面 将 会 以 实例 演示 EIGRP 配置 的 过 程 ， 会 讲解 过 程 中 使 用 的 参数 。 

打开 随 书 光盘 中 第 6 章 练习 “02 动态 路 由 EIGRPpkt”， 网 络 拓扑 和 IP 地 址 规划 如 图 
6-8 所 示 , 网 络 中 的 路 由 器 和 下 地 址 已 经 配置 好 。Router0 和 Router3 之 间 使 用 快速 以 太 网 接 
口 连接 。 


2950T-24 
Switch2 


站 2950T-24 ok Router-PT 
Switchl 255.255.255 192 


255. 255. 255. 192 B A2 


Al 


全 图 6-8 网 络 拓扑 
注意 观察 PP 地 址 , 其 中 Al 和 A2 区 域 是 192.168.0.0/24 C 类 网 络 划 分 的 子 网 , 中 间 的 了 B 
区 域 是 192.168.1.0/24 C 类 网 络 。 对 于 192.168.0.0/24 划分 的 子 网 就 是 不 连续 子 网 。EIGRP 
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协议 会 在 瑟 地 址 类 边界 自动 汇总 。 本 实验 需要 关闭 EIGRP 的 自动 汇总 来 支持 不 连续 子 网 ， 
然后 配置 EIGRP 的 手动 汇总 。 

下 面 的 步骤 将 会 演示 在 这 个 网 络 中 配置 路 由 器 使 用 EIGRP 协议 交换 路 由 信息 ， 查 看 路 
田 衣 。 

操作 步骤 如 下 。 

(1) 在 Router0 上 ， 启 用 和 配置 EIGRP。 


Router>en 


Router#config t 

Router (config) #router eigrp 10  -- 这 里 的 10 是 自制 系统 编号 

Router (config-router) #network 192.168.0.0 

Router (config-router) #network 192.168.1.0 

这 里 的 10 是 自制 系统 编号 , 本 实验 的 所 有 路 由 器 EIGRP 自制 系统 编号 都 是 10， 当然 你 
也 可 以 给 其 他 的 自制 系统 编号 。 不 一 样 的 自制 系统 不 能 交换 路 由 信息 和 Hello 数据 包 。 
后 面 的 network 的 配置 和 RIP 一 样 ， 是 告诉 路 由 器 哪些 端口 连接 的 网 段 能 够 被 EIGRP 
协议 通告 出 去 。 

(2) 在 Routerl 上 ， 启 用 和 配置 EIGRP。 


Router (config) #router eigrp 10 


Router (config-router) #network 192.168.1.0 

SDUAL-5-NBRCHANGE: IP-EIGRP 10: Neighbor 192.168.1.1 (Serial3/0) is up: new 
adjacency 

发 现 邻 居 。 

(3) 在 Router2 上 ， 启 用 和 配置 EIGRP。 

Router (config) #router eigrp 10 

Router (config-router) #network 192.168.0.0 

Router (config-router) #network 192.168.1.0 

(4) 在 Router3 上 ， 启 用 和 配置 EIGRP。 

Router (config) #router eigrp 10 

Router (config-router) #network 192.168.1.0 

(5) 在 Router0 上 ， 查 看 路 由 表 。 

Router#show ip route 

Gateway of last resort is not set 
192.168.0.0/24 is variably subnetted, 3 subnets, 2 masks 

D 192.168.0.0/24 is a summary，03:35:59，Nul10 ” -- 在 类 的 边界 汇总 
192.168.0.0/26 is directly connected, FastEthernet0/0 

人 192.168.0.64/26 is directly connected, FastEthernet1/0 
192.168.1.0/24 is variably subnetted, 5 subnets, 2 masks 

D 192.168.1.0/24 is a summary，00:40:31，Nul10 ” -- 在 类 的 边界 汇总 
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192.168.1.0/30 is directly connected, Serial2/0 
192.168.1.4/30 [90/21024000] via 192.168.1.2, 03:29:35, Serial2/0 
192.168.1.8/30 is directly connected, FastEthernet6/0 


= = 


192.168.1.12/30 [90/20514560] via 192.168.1.10, 00:40:30, 

FastEthernet6/0 

在 上 面 显 示 的 路 由 表 中 ，D 开头 的 路 由 标明 其 是 通过 EIGRP 协议 构造 的 路 由 。 可 以 看 

到 ， 没 有 192.168.0.128/26 这 个 子 网 ， 因 为 EIGRP 协议 默认 在 类 的 边界 自动 汇总 。 

(6) 在 Routerl 上 ， 查 看 路 由 表 。 

Router#show ip route 

Gateway of last resort is not set 

D 192.168.0.0/24 [90/20514560] via 192.168.1.1, 03:29:22, Serial3/0 
[90/20514560] via 192.168.1.6, 00:49:46, Serial2/0 

192.168.1.0/30 is subnetted, 4 subnets 

192.168.1.0 is directly connected, Serial3/0 

192.168.1.4 is directly connected, Serial2/0 

192.168.1.8 [90/20514560] via 192.168.1.1, 00:40:18, Serial3/0 

192.168.1.12 [90/21024000] via 192.168.1.6, 00:49:46, Serial2/0 

可 以 看 到 ， 在 Routerl 上 构造 的 路 由 表 ， 到 192.168.0.0/24 网 络 有 两 条 路 径 。 很 显然 这 

种 汇总 是 错误 的 。 

下 面 将 演示 关闭 自动 汇总 。 


[= 


6.3.2 关闭 EIGRP 的 自动 汇总 


关闭 EIGRP 协议 的 自动 汇总 ， 能 够 使 之 支持 不 连续 子 网 。 
在 所 有 路 由 器 上 运行 以 下 命令 关闭 EIGRP 的 自动 汇总 。 


Router (config) #router eigrp 10 


Router (config-router) #no auto-summary 


6.3.3 查看 EIGRP 的 配置 和 路 由 表 


在 Routerl 上 , 查看 EIGRP 协议 的 配置 , 查看 关闭 自动 汇总 后 的 路 由 表 , 如 图 6-9 所 示 。 
一 -查看 关闭 自动 汇总 后 的 路 由 表 


Router#show ip route 
Gateway of last resort is not set 
192.168.0.0/26 is subnetted，3 subnets 三 个 了 网 的 了 网 掩 码 为 /26 


D 192.168.0.0 [90/20514560] via 192.168.1.1, 00:00:15, Serial3/0 
D 192.168.0.64 [90/20514560] via 192.168.1.1, 00:00:15, Serial3/0 
D 192.168.0.128 [90/20514560] via 192.168.1.6, 00:00:16, Serial2/0 
192.168.1.0/30 is subnetted, 4 subnets 

ce 192.168.1.0 is directly connected, Serial3/0 

c 192.168.1.4 is directly connected, Serial2/0 

D 192.168.1.8 [90/20514560] via 192.168.1.1, 00:00:15, Serial3/0 
D 192.168.1.12 [90/21024000] via 192.168.1.6, 00:00:16, Serial2/0 


全 图 6-9 EIGRP 学 习 到 的 路 由 


音 
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现在 能 够 看 到 路 由 表 中 出 现 了 网 络 中 到 所 有 网 段 的 路 由 。 注 意 ， 中 括号 中 ，90 代表 管 
理 距离 ， 后 面 的 值 是 度量 值 ， 该 度量 值 是 带宽 和 延迟 两 个 指标 算出 来 的 。 


6.3.4 ”EIGRP 手动 汇总 


本 实验 的 网 络 中 , Al 区 域 的 两 个 子 网 192.168.0.0/26 和 192.168.0.64/26 可 以 汇总 成 一 条 
路 由 192.168.0.0/25。 可 以 在 Router0 的 S2/0 和 F6/0 进行 汇总 ， 如 图 6-10 所 示 。 


PC0 

2 192.168.0.0 
2950T-24 
Switch2 


192. 168.0. 128 
255. 255. 255. 192 


B A2 


全 图 6-10 网 络 拓扑 
(1) 在 Router0 上 ， 手 动 汇总 。 
Router (config) #interface Serial 2/0 
Router (config-if) #ip summary-address eigrp 10 192.168.0.0 255.255.255.128 
Router (config-if) #ex 
Router (config) #interface fastEthernet 6/0 
Router (config-if) #ip summary-address eigrp 10 192.168.0.0 255.255.255.128 
(2) 在 Routerl 上 ， 查 看 汇总 的 结果 ， 如 图 6-11 所 示 。 
Router#show ip route 


Gateway of last resort is not set 可 以 看 到 将 A 区 域 中 的 两 个 子 网 汇总 为 一 条 路 由 
192.168.0.0/24 is variably subnetted, 2 subnets, 2 masks 


D 192.168.0.0/25 [90/20514560] via 192.168.1.1, 00:01:25, Serial3/0 

D 192.168.0.128/26 [90/20514560] via 192.168.1.6, 00:12:36, Serial2/0 
152.165.1.0/30 TS subnetted, 4 subnets 

S 192.168.1.0 is directly connected, serial3/0 

C 192.168.1.4 is directly connected, Serial2/0 

D 192.168.1.8 [90/20514560] via 192.168.1.1, 00:01:25, Serial3/0 

D 192.168.1.12 [90/21024000] via 192.168.1.6, 00:12:36, Serial2/0 


全 图 6-11 汇总 结果 
6.3.5 ”确认 EIGRP 选择 的 最 佳 路 径 
在 PC0 上 跟踪 到 PC2 的 数据 包 传递 路 径 。 


PC>tracert 192.168.0.130 

Tracing route to 192.168.0.130 over a maximum of 30 hops: 
3, ns 12 ms 8 ms 192.168.0.1 —-Router0 
2 20 ms 15 ms 17 ms 192.168.1.10 —-Router3 
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2 15 ms LT7 ma 192,16051-14 —-Router2 
4 28 ms 21 ms 26 ms 192.168.0.130 ==PC2 


Trace complete. 


如 图 6-12 所 示 ， 根 据 数 据 包 跟踪 结果 可 知 ，EIGRP 协议 在 192.168.0.0/26 网 段 到 


192.168.0.128/26 网 段 的 最 佳 路 径 是 四 ， 路 径 @ 是 备用 路 径 。 


下 面 讲解 如 何 查看 EIGRP 的 备用 路 径 。 


(2) 192.168.1.4 
255. 255. 252 
5 
Router-PT 
Router1 


Router-PT 2950T-24 
Router2 Switch2 


192. 168.1.0 


PC-PT 
pco 
2 192.168.0.0 

255. 255. 255. 192 


PC-PT 
PC2 
130 


192. 168.0. 128 
255. 255. 255. 192 


s 2950T-24 
PC-PT 
Pe Switchl 


66 192.168.0.64 
255, 255. 255, 192 


255 255, Router-PT 255. 
Router3 


全 图 6-12 备用 路 径 


6.3.6 ”查看 EIGRP 的 备用 路 径 


使 用 show ip eigrp topology 命令 可 以 查看 备用 路 径 。 以 下 命令 在 Router0 上 运行 。 
Router#show ip eigrp topology 
IP-EIGRP Topology Table for AS 10 
Codes: P - Passive, A - Active, U - Update, Q - Query, R - Reply, 
z - Reply status 
P 192.168.0.0/26, 1 successors, FD is 28160 
Via Connected, FastEthernet0/0 
P 192.168.0.64/26, 1 successors, FD is 28160 
Via Connected, FastEthernet1/0 
P 192.168.1.0/30, 1 successors, FD is 20512000 
Via Connected, Serial2/0 
P 192.168.1.4/30, 1 successors, FD is 21024000 
via 192.168.1.2 (21024000/20512000) ，Serial2/0 
P 192.168:1.12/30, 1 successors, FD is; 20514560 
via 192.168.1.10 (20514560/20512000) ， FastEthernet6/0 
P 192.168.1.8/30, 1 successors, FD is 28160 
Via Connected, FastEthernet6/0 
P 192.168.0.128/26，1 successors，FD is 20517120 ”-- 到 该 网 段 有 一 个 最 佳 路 径 
Via 192.168.1.10 (20517120/20514560) ， FastEthernet6/0 
一 -该 路 径 是 最 佳 路 径 
Via 192.168.1.2 (21026560/20514560) ，Serial2/0-- 该 路 径 是 备用 路 径 
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每 个 路 由 前 面 都 有 一 个 P， 这 表明 此 路 由 处 于 被 动 状态 。 这 是 一 件 好 事情 ， 因 为 
激活 状态 (A ) 的 路 由 ， 指 示 该 路 由 器 已 经 失去 了 它 到 这 个 网 络 的 路 径 ， 并 且 正 


在 搜索 替代 路 径 。 每 个 表 项 也 标识 了 到 远程 网 络 加 上 下 一 跳 邻 居 可 行 的 距离 ， 
这 个 下 一 跳 邻居 是 指数 据 包 将 通过 它 被 传输 到 目标 网 络 。 这 里 说 的 距离 是 带宽 
和 延迟 两 个 指标 算出 来 的 度量 值 ， 该 值 越 小 ， 距 离 越 短 。 


在 圆 括号 中 ， 每 个 表 项 还 有 两 个 数值 ， 第 一 个 数值 指示 可 行距 离 ， 而 第 二 个 是 到 达 远 程 
网 络 的 通告 距离 。 如 图 6-13 所 示 ，Routerl 通告 Router0， 它 到 192.168.0.128/26 网 段 的 距离 
是 20514560， 这 就 是 通告 距离 ，Router0 计算 到 达 该 网 络 的 距离 需要 在 通告 距离 的 基础 上 加 
上 它 到 Routerl 的 距离 ， 这 就 是 可 行距 离 。 虽 然 Routerl 和 Router3 通告 给 Router0 的 距离 相 
同 , 但 是 由 于 Router0 到 Router3 之 间 是 以 太 网 连接 ， 距 离 短 ， 因 此 Router3 成 为 继任 者 ,而 
Routerl 成 为 可 行 的 继任 者 (备份 路 由 )。 但 只 有 一 个 继任 路 由 (那个 具有 最 低 度 量 的 ) 将 会 


被 复制 并 放 入 到 路 由 表 中 。 
可 行距 离 21026560 一 一 一 一 一 一 一 


18975104 通告 距 高 20514560 


192.168.1.0 可 行 的 继任 者 isz lss 14 


255. 255. 255. 252 2 255. 255. 255. 252 


PE-PT 2950T-2: 


PC0 SwitchO 
2 192.188.0.0 65 
255. 255. 255. 192 


Router-PT 
Routerl 


Router-PT 2950T-24 


Router2 Switch2 BE 
有 一 俩 (92. 168. 1.8 192. 168.1. 12 19p. 168.0. 128 i 
PC-PT Es 5. 255. 255. 252 Routpr-PT 255.255.255.252 256. 255. 255. 192 
a Switchl Rodker3 
86 192.188.0.64 2560 通告 距离 20514560 


255. 255. 255. 192 


可 行距 高 20517120 


全 图 6-13 可 行距 离 和 通告 距离 示意 图 
6.3.7 ”查看 EIGRP 邻居 
在 任何 路 由 上 ， 运 行 以 下 命令 可 以 查看 EIGRP 的 邻居 。 


Router#show ip eigrp neighbors 


IP-EIGRP neighbors for process 10 
H Address Interface Hold Uptime SRTT RIO Q Seq 
(sec) (ms) Cnt Num 
QO L92216851:10 Fa6/0 0 O02:02:28, 40 1000 0 85 
下 二 “192.168.1.2 Se2/0 13 02*:02:28 40 1000 0 76 
以 上 命令 可 以 显示 EIGRP 的 邻居 ， 如 果 你 发 现 邻 居 缺 少 ， 就 应 该 检查 相 邻 的 路 由 器 是 
否 正确 配置 了 EIGRP、 自 制 系统 编号 是 否 相同 、 是 否 正确 地 配置 了 network。 
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6.3.8 显示 EIGRP 协议 活动 
debug eigrp packets 可 以 显示 出 在 两 台 相 邻 路 由 器 间 所 发 送 的 Hello 数据 包 。 


Router#debug eigrp packets 


EIGRP: Sending HELLO on FastEthernet0/0 
RS 10, Flags 0x0, Seq 76/0 idbQ 0/0 iidbQ un/rely 0/0 
EIGRP: Sending HELLO on FastEthernet6/0 
RS 10, Flags 0x0, Seq 76/0 idbQ 0/0 iidbQ un/rely 0/0 
EIGRP: Sending HELLO on Serial2/0 
AS 10, Flags 0x0, Seq 76/0 idbQ 0/0 iidbQ un/rely 0/0 
EIGRP: Received HELLO on Serial2/0 nbr 192.168.1.2 
RS 10, Flags 0x0, Seq 77/0 idbQ 0/0 
EIGRP: Sending HELLO on FastEthernet1/0 
RS 10, Flags 0x0, Seq 76/0 idbQ 0/0 iidbQ un/rely 0/0 
Router#undebug all -关闭 诊断 输出 ， 也 可 输入 un all 关闭 诊断 输出 
Hello 数据 包 会 送 到 每 个 激活 的 接口 上 ， 也 就 是 那些 有 邻居 相连 接 的 接口 ， 并 由 这 些 接 
口 送出 。 你 是 否 注意 到 在 这 个 更 新 中 提供 的 AS 号 ? 要 知道 ， 如 果 某 个 邻居 没有 相同 的 AS 
号 ， 它 所 发 出 的 Hello 更 新 将 会 被 丢弃 。 
Router #debug ip eigrp notification 
在 平时 这 个 命令 的 输出 根本 不 能 告诉 你 任何 有 价值 的 事情 ! 只 有 当 你 的 网 络 出 现 问题 
时 ， 或 者 在 你 的 互联 网 络 中 从 某 台 路 由 器 上 添加 或 删除 了 一 个 网 络 时 ， 它 才 是 有 价值 的 。 该 
命令 在 packet tracer 软件 中 没有 提供 。 


6.3.9 ”更 改 EIGRP 的 默认 设置 


默认 时 ，EIGRP 支持 最 多 4 条 链 路 的 不 等 价 路 径 的 负载 均衡 ， 通 过 以 下 命令 可 以 使 
EIGRP 支持 6 条 等 价 或 不 等 价 负载 均衡 链 路 。 默 认 最 大 跳 数 100, 可 以 被 设置 到 255。Packet 
Tracer 软件 模拟 的 路 由 器 不 支持 以 下 命令 。 

Router (config) #router eigrp 10 

Router (config-router) #maximum-path ? 

<1-6> Number of paths 

Router (config-router) #metric maximum-hops ? 


<1-255> Hop Count 
EIGRP 的 课 后 实验 为 本 章 6.7.3 小 节 “ 实 验 3: 配置 EIGRP 手动 汇总 ”。 


EE osrr tx 


开放 最 短路 径 优先 OSPF (Open Shortest Path First) 是 一 个 开放 标准 的 路 由 选择 协议 ， 
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它 被 各 种 网 络 开发 商 所 广泛 使 用 ， 其 中 包括 Cisco。 如 果 你 的 网 络 拥有 多 种 路 由 器 ， 而 并 
不 全 都 是 Cisco 的 ， 那 么 你 将 不 能 使 用 EIGRP， 那 你 可 以 用 什么 呢 ? 基 本 上 剩 下 的 也 只 
RIPv1、RIPv2 或 OSPF。 如 果 你 的 网 络 是 一 个 大 型 网 络 , 那么 你 真正 的 选择 就 只 能 是 OSPF 
和 被 称 为 路 由 再 发 布 的 服务 了 ， 即 能 在 路 由 选择 协议 之 间 提 供 转换 的 服务 。 

OSPF 是 通过 使 用 Dijkstra 算法 来 工作 的 。 首 先 ， 构 建 一 个 最 短路 径 树 ， 然 后 使 用 最 佳 
路 径 的 计算 结果 来 组 建 路 由 表 。OSPF 汇聚 很 快 ， 虽 然 它 可 能 没有 EIGRP 快 ， 并 且 它 也 支持 
到 达 相 同 目标 的 多 个 等 开销 路 由 ， 但 与 EIGRP 一 样 ， 它 支持 卫 和 IPv6。 

OSPF 协议 具有 下 列 特性 。 


6.4.1 


由 区 域 和 自治 系统 组 成 。 

最 小 化 的 路 由 更 新 的 流量 。 

允许 可 缩放 性 。 

支持 变 VLSM 和 CIDR。 
拥有 不 受 限 的 跳 数 。 

允许 多 销售 商 的 设备 集成 《开放 的 标准 ) 。 
度量 值 是 带宽 。 


OSPF 相关 术语 


在 学 习 OSPF 之 前 ， 先 要 介绍 一 下 与 之 相关 的 术语 。 


链 路 : 链 路 就 是 指定 给 任 一 给 定 网 络 的 一 个 网 络 或 路 由 器 接口 。 当 一 个 接口 被 加 入 
到 该 OSPF 的 处 理 中 时 ， 它 就 被 OSPF 认为 是 一 个 链 路 。 这 个 链 路 或 接口 ， 将 有 一 
个 指定 给 它 的 状态 信息 (up 或 down， 即 激活 或 失效 ) ， 以 及 一 个 或 多 个 他 址 。 
路 由 器 ID: 路 由 器 ID (CRID) 是 一 个 用 来 标识 此 路 由 器 的 人 P 地 址 。Cisco 通过 使 
用 所 有 被 配置 的 环 回 接口 中 最 高 的 他 地址， 来 指定 此 路 由 器 ID。 如 果 没 有 带 有 地 
址 的 环 回 接口 被 配置 ,OSPF 将 选择 所 有 激活 的 物理 接口 中 最 高 的 也 地 址 为 其 RID。 
邻居 : 邻居 可 以 是 两 台 或 更 多 的 路 由 器 , 这 些 路 由 器 都 有 某 个 接口 连接 到 一 个 公共 
的 网 络 上 ， 如 两 台 连 接 在 一 个 点 到 点 串 行 链 路 上 的 路 由 器 。 

邻接 : 邻接 是 两 台 OSPF 路 由 器 之 间 的 关系 , 这 两 台 路 由 器 允许 直接 交换 路 由 更 新 
数据 。OSPF 对 于 共享 的 路 由 选择 信息 是 非常 讲究 的 , 不 像 EIGRP 那样 直接 地 与 自 
己 所 有 的 邻居 共享 路 由 信息 OSPF 只 与 建立 了 邻接 关系 的 邻居 直接 共享 路 由 信息 ， 
并 不 是 所 有 的 邻居 都 可 以 成 为 邻接 ， 这 将 取决 于 网 络 的 类 型 和 路 由 器 上 的 配置 。 
Hello 协议 : OSPF 的 Hello 协议 可 以 动态 地 发 现 邻 居 ， 并 维护 邻居 关系 。Hello 数 
据 包 和 链 路 状态 通告 (LSA) 建立 并 维护 着 拓扑 数据 库 。Hello 数据 包 的 地 址 是 
224.0.0.5。 

邻居 关系 数据 库 : 邻居 关系 数据 库 是 一 个 OSPF 路 由 器 的 列表 , 这 些 路 由 器 的 Hello 
数据 包 是 可 以 被 相互 看 见 的 。 每 台 路 由 器 上 的 邻居 关系 数据 库 管理 着 各 种 详细 资 
料 ， 如 路 由 器 ID 和 状态 。 

拓扑 数据 库 : 拓扑 数据 库 中 包含 来 自 所 有 从 某 个 区 域 接收 到 的 链 路 状态 通告 信息 。 
路 由 器 使 用 这 些 来 自 拓扑 数据 库 中 的 信息 作为 Dijkstra 算法 的 输入 ， 并 为 每 个 网 络 


205 


英 基 
计算 机 网 络 (修订 版 ) 


206 


计算 出 最 短路 径 。 

链 路 状态 通告 : 链 路 状态 通告 (LSA) 是 一 个 OSPF 的 数据 包 ， 它 包含 在 OSPF 路 
器 中 共享 的 链 路 状态 和 路 由 信息 。 有 多 种 不 同类 型 的 LSA 数据 包 。 OSPF 路 由 器 
将 只 与 建立 了 邻接 关系 的 路 由 器 交换 LSA 数据 包 。 

指定 路 由 器 : 无 论 什 么 时 候 , 当 OSPF 路 由 器 被 连接 到 相同 的 多 路 访问 型 的 网 络 时 ， 
都 需要 选择 一 台 指 定 路 由 器 (DR) 。Cisco 喜欢 将 这 些 网 络 称 为 “广播 ” 网 络 ， 
这 些 网 络 上 拥有 多 个 接收 者 。 不 要 将 多 路 访问 与 多 连接 点 混淆 ， 有 时 它们 是 不 易 被 
区 分 开 的 。 

典型 示例 比如 以 太 型 LAN。 为 了 最 小 化 所 需 构 成 的 邻接 数量 ， 被 选择 (挑选 ) 的 
DR 将 负责 分 发 、 收 集 路 由 选择 信息 到 来 自 此 广播 网 络 或 链 路 中 的 其 他 路 由 器 上 。 
这 就 确保 了 所 有 路 由 器 上 的 拓扑 表 是 同步 的 。 这 个 共享 网 络 中 的 所 有 路 由 器 都 将 与 
DR 和 备用 指定 路 由 器 (BDR) 建立 邻接 关系 。 具 有 高 优先 级 的 路 由 器 将 胜出 ， 成 
为 DR， 当 具有 较 高 优先 级 的 路 由 器 都 退出 时 ， 路 由 器 的 ID 将 打破 平局 的 条 件 ， 即 
在 具有 相同 优先 级 的 路 由 器 中 选择 DR 时 , 拥有 最 高 路 由 器 ID 的 路 由 器 将 被 选中 。 
备用 指定 路 由 器 : 备用 指定 路 由 器 (BDR) 是 多 路 访问 链 路 〈 记 住 ，Cisco 有 时 嘉 
欢 称 之 为 “广播 ”网 络 ) 上 跃跃欲试 的 待命 DR。BDR 将 从 OSPF 邻接 路 由 器 上 接 
收 所 有 的 路 由 更 新 ， 但 并 不 随便 转发 这 些 LSA 更 新 。 

OSPF 区 域 : 一 个 OSPF 区 域 是 一 组 相 邻 的 网 络 和 路 由 器 。 在 同一 区 域内 的 路 由 器 
共享 一 个 公共 的 区 域 ID。 由 于 路 由 器 可 以 同时 是 多 个 区 域 中 的 成 员 ， 因 此 区 域 ID 
被 指定 给 此 路 由 器 上 特定 的 接口 。 这 样 ， 路 由 器 上 的 某 些 接口 可 能 属于 区 域 1， 而 
剩 下 的 接口 则 可 能 属于 区 域 0。 所 有 在 同一 区 域 中 的 路 由 器 拥有 相同 的 拓扑 表 。 在 
配置 OSPF 时 需要 记 住 ， 必 须 使 用 区 域 9， 在 连接 到 网 络 主干 的 路 由 器 上 时 ， 它 通 
常 是 要 被 配置 的 。 区域 在 建立 一 个 分 级 的 网 络 组 织 中 扮演 着 重要 的 角色 , 它 真正 强 
化 了 OSPF 的 可 缩放 性 。 

广播 〈 多 路 访问 ) : 广播 (多 路 访问 ) 网 络 就 像 以 太 网 ， 它 允许 多 台 设 备 连接 (或 
者 是 访问 ) 到 同一 个 网 络 , 它 是 通过 投递 单一 数据 包 到 网 络 中 所 有 的 结 点 来 提供 广 
播 能 力 的 。 在 OSPF 中 ， 每 个 广播 〈 多 路 访问 ) 网 络 都 必须 选 出 一 个 DR 和 一 个 
BDR。 

非 广播 的 多 路 访问 : 非 广播 的 多 路 访问 (NBMA) 网 络 是 那些 像 帧 中 继 、X.25 和 
异步 传输 模式 (ATM) 类 型 的 网 络 。 这 些 网 络 允 许多 路 访问 ， 但 不 拥有 如 以 太 网 
那样 的 广播 能 力 。 因 此 ， 为 实现 恰当 的 功能 ，NBMA 网 络 需 要 特殊 的 OSPF 配置 ， 
并 且 必 须 详 细 定义 邻居 关系 。 


接 为 路 由 器 提供 了 单一 的 通信 路 径 。 点 到 点 连接 可 能 是 物理 的 ,比如 直接 连接 两 台 
路 由 器 的 串 行 电缆 ; 它 也 可 以 是 逻辑 的 , 如 通过 帧 中 继 网 络 电路 在 两 台 相 隅 上 千 英 
里 的 路 由 器 间 形 成 的 连接 。 无 论 怎 样 ， 这 种 类 型 的 配置 排除 了 对 DR 或 BDR 的 需 
求 ， 并 且 它 们 邻居 关系 的 发 现 也 是 自动 完成 的 。 

点 到 多 点 : 点 到 多 点 也 被 定义 为 是 一 种 网 络 的 拓扑 类 型 , 这 种 拓扑 包含 有 路 由 器 上 
的 某 个 单一 接口 与 多 个 目的 路 由 器 间 的 一 系列 连接 。 这 里 , 所 有 路 由 器 的 所 有 接口 
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都 共享 这 个 属于 同一 网 络 的 点 到 多 点 的 连接 。 与 点 到 点 一 样 ， 这 里 不 需要 DR 或 
BDR。 
在 理解 OSPF 的 操作 过 程 时 ， 所 有 这 些 术语 都 扮演 着 一 个 重要 的 角色 。 因 此 ， 需 要 再 一 
次 确信 你 已 经 非常 熟悉 它们 。 


6.4.2 支持 多 区 域 


OSPF 是 一 个 快速 的 、 可 缩放 的 和 高 效能 的 协议 ， 进 而 可 以 被 应 用 在 有 数 以 千 计 的 路 由 
设备 的 大 规模 网 络 中 。OSPF 设计 用 于 分 层 的 结构 中 ， 使 用 OSPF 可 以 将 大 型 互联 网 络 分 割 
成 一 些小 的 被 称 为 区 域 的 小 互联 网 络 ， 这 是 OSPF 协议 设计 中 的 精华 。 

将 OSPF 协议 创建 为 层次 结构 的 原因 如 下 。 

" ”减少 路 由 选择 的 开销 。 

" ”加 速 汇聚 。 

" ”用 单一 的 网 络 区 域 来 缩小 网 络 的 不 稳定 性 。 

如 图 6-14 所 示 , 河北 省 分 配 的 地 址 段 为 40.2.0.0/16, 河南 省 分 配 的 地 址 段 为 40.1.0.0/16， 
国家 主干 网 分 配 的 地 址 段 为 40.0.0.0/116。 国 家 主干 网 作为 OSPF 的 area 0， 可 以 将 一 个 省 作 
为 一 个 OSPF 区 域 ， 这 些 区 域 和 area 0 相连 。 


40. 0. 0. 2/30 40. 0. 0. 5/30 
40. 0. 0.6/30 


地 区 边界 路 由 器 40.0.0.1/30 40.0.0.0/16 


40.1. 0. 9/30 一 一 40.2.0.2/30 40. 2. 0.9/30 
Dd 40. 2. 0. 5/30 


40. 2. 0. 1/30 40. 2. 0. 6/30 40. 2.0.10/30 


保定 
40.2.3.0/2. 


40.2.2.0/24 


40.1.2.0/24 


40.1.0.0/16 河南 
areal 


40.2.0.0/16 河北 
area2 


自治 系统 


全 图 6-14 0SPF 多 区 域 与 地 址 规划 
路 由 器 B 可 以 将 area 1 的 网 络 汇总 成 一 条 通告 给 area 0， 路 由 器 C 可 以 将 area 2 的 网 络 
汇总 成 一 条 通告 给 area 0。 比 如 保定 网 络 的 某 个 接口 up 或 down 只 会 引起 area 2 网 络 中 的 路 
器 交换 链 路 状态 ， 重 新 计算 路 由 表 ; 对 area 0 和 area 1 中 的 网 络 没 有 任何 影响 。 这 样 就 将 
网 络 的 不 稳定 造成 的 影响 ， 控 制 在 一 个 area。 


el 
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图 6-14 给 出 了 典型 的 OSPF 简易 设计 。 注 意 每 台 路 由 器 是 如 何 连接 到 主干 网 上 的 ， 此 主 
干 网 被 称 为 区 域 0， 或 主干 区 域 。OSPF 协议 必须 要 有 一 个 区 域 0。 而 且 如 果 可 能 ， 所 有 的 路 
由 器 都 应 该 连接 到 这 个 区 域 那些 没有 直接 连接 到 区 域 0 的 区 域 可 以 通过 使 用 虚拟 链 路 进行 
连接 ， 但 这 一 部 分 内 容 超出 本 书 的 范畴 )。 而 那些 在 一 个 AS 内 部 连接 其 他 区 域 到 此 主干 网 的 
路 由 器 ， 被 称 为 区 域 边界 路 由 器 (ABR)。 这 些 路 由 器 至 少 有 一 个 接口 必须 在 区 域 0 中。 


6.4.3 OSPF 的 network 参数 


与 RIP 和 EIGRP 一 样 ， 在 启用 了 OSPF 协议 后 ， 同 样 需要 使 用 network 命令 标识 OSPF 
将 操作 的 接口 。 但 是 与 RIP 和 EIGRP 不 同 ， 后 面 需要 指明 通配符 掩 码 和 OSPF 区 域 。 
如 图 6-15 所 示 ，Router0、Routerl 和 Router2 都 属于 area 0。 


area 0 
192. 168. 1.0/24 192. 168. 2.0/24 
2 


S3 


wouter-PT re PC-PT 
S30uter-pr 52 Router2 g 
Router1 


192. 168. 0. 0/24 


S2 


Router-PT 


全 图 6-15 ”网络 拓扑 
在 Routerl 上 配置 OSPF 的 命令 如 下 。 
Routerl (config) #router ospf 1 ，-- 后 面 的 值 是 进程 ID， 可 以 是 1 一 65535 之 间 任 何 值 
Routerl (config-router) #network 192.168.1.0 0.0.0.255 area 0 


Routerl (config-router) #network 192.168.2.0 0.0.0.255 area 0 

network 命令 的 参数 是 网 络 号 〈192.168.1.0) 和 通配符 掩 码 〈0.0.0.255)， 这 两 个 数字 的 
组 合用 于 标识 OSPF 将 操作 的 接口 ， 并 且 它 也 将 被 包含 在 其 OSPF LSA 的 通告 中 。OSPF 将 
使 用 这 个 命令 来 找 出 包括 在 192.168.1.0/24 网 络 中 的 任何 地 址 ， 它 将 会 把 找到 的 接口 放置 到 
area0 中 。 

在 通配符 掩 码 中 , 值 为 0 的 八 位 位 组 表示 网 络 地 址 中 相应 的 八 位 位 组 必须 严格 匹配 , 255 
则 表示 不 必 关 心 网 络 地 址 中 相应 的 八 位 位 组 的 匹配 情况 。 如 network 192.168.1.2 0.0.0.0 的 组 
合 将 指定 一 个 192.168.1.2， 而 不 包含 其 他 地 址 。 如 果 你 想 在 指定 接口 上 激活 OSPF， 这 种 方 
式 确 实 很 有 用 ,并 且 这 也 是 完成 这 一 工作 可 采用 的 非常 明确 且 简 单 的 方式 。 如 果 你 坚持 要 匹 
配 网 络 中 的 某 个 范围 ， 则 网 络 和 通配符 掩 码 192.168.1.0 0.0.0.255 的 组 合 将 指定 一 个 范围 
192.168.1.0 一 192.168.1.255。 由 此 可 知 ， 使 用 通配符 掩 码 0.0.0.0 将 分 别 标识 出 每 个 OSPF 的 
接口 ， 它 的 确 是 一 个 比较 简单 且 安 全 的 方式 。 

在 Routerl 上 ， 由 于 接口 S2 和 S3 都 属于 area 0， 你 也 可 以 将 这 两 个 网 段 合 并 为 一 个 。 

Routerl (config) #router ospf 1 

Routerl (config-router) #network 192.168.0.0 0.0.255.255 area 0 

这 就 意味 着 ， 只 要 路 由 器 的 接口 人 P 地 址 是 192.168 开头 的 ， 都 将 运行 OSPF， 这 些 接口 
都 属于 area 0。 
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如 果 这 两 个 接口 属于 不 同 area, 你 必须 写 两 条 network 才能 区 分 哪些 接口 属于 哪个 area。 

Routerl (config) #router ospf 1 

Router1l (config-router) #network 192.168.1.0 0.0.0.255 area 1 

Routerl (config-router) #network 192.168.2.0 0.0.0.255 area 0 

最 后 的 参数 是 区 域 号 码 , 它 指示 网 络 中 接口 被 标识 以 及 通配符 掩 码 所 限定 的 区 域 。 记 住 ， 
如 果 OSPF 路 由 器 的 接口 共享 有 相同 区 域 号 的 网 络 ， 那 么 这 些 路 由 器 将 完全 可 以 成 为 邻居 。 
区 域 号 可 以 是 1 一 4 294 967 295 范围 内 的 十 进 制 数 ,也 可 以 被 表示 为 标准 的 点 分 符号 的 数值 。 
例如 ， 区 域 0.0.0.0 是 一 个 合法 的 区 域 ， 它 也 可 以 同样 表示 为 区 域 0。 


6.4.4 配置 OSPF 单 区 域 
打开 随 书 光盘 中 第 6 章 练习 “03 ”OSPF 单 区 域 pkt” 网络 拓扑 和 了 下 地 址 如 图 6-16 所 示 。 
1. 实验 目的 
能 够 在 单 区 域 环境 中 配置 OSPF 路 由 协议 。 
2. 网 络 拓扑 和 实验 环境 
网 络 中 计算 机 和 路 由 器 的 瑟 地 址 已 经 按 图 6-16 所 示 配 置 完成 。 


rt 17 Router4 
Routerl 


192. 168. 0. 4/30 192. 168. 0. 8/30 ser37 
Ser3/0. Dser2/ Om 
Ser270 5 ser2/0@ Ep 
Gser4/0 
3 


172.17.0.0/16 
全 图 6-16 ”网络 拓扑 
3. 实验 要 求 
" ”在 Area0 中 配置 OSPF。 
" ”查看 路 由 表 。 
" ”检查 OSPF 协议 的 收敛 速度 。 
4. 操作 步骤 


(1) 在 Router2 上 ， 配 置 OSPF 协议 。 
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Router>en 

Router#config 七 

Router (config) #router ospf 1 

Router (config-router) #network 192.168.0.0 0.0.0.3 area 0 

Router (config-router) #network 172.16.0.0 0.0.255.255 area 0 

(2) 在 Router0 上， 配置 OSPF 协议 。 

Router (config) #router ospf 100 -进程 ID 可 以 和 其 他 路 由 器 的 不 一 样 
Router (config-router) #network 192.168.0.0 0.0.0.3 area 0 

Router (config-router) #network 192.168.0.4 0.0.0.3 area 0 

Router (config-router) #network 192.168.0.12 0.0.0.3 area 0 


Router (config-router) #ex 


通配符 掩 码 ， 其 实 就 是 子 网 掩 码 的 反 转 ， 即 子 网 掩 码 的 1 变 成 0，0 变 成 1。 如 
果 某 个 网 段 的 子 网 掩 码 是 255.255.255.252， 二 进 制 位 11111111. 11111111. 


11111111. 11111100， 那 么 它 的 反 转 源码 为 00000000. 00000000. 00000000. 
00000011， 即 0.0.0.3。 


以 上 的 配置 可 以 使 用 下 面 的 命令 代替 ， 反 转 掩 码 为 0.0.0.255， 意 味 着 只 要 了 地 址 是 
192.168.0 的 接口 都 运行 OSPF 协议 ， 且 都 工作 在 area 0。 

Router (config) #router ospf 100 

Router (config-router) #network 192.168.0.0 0.0.0.255 area 0 

(3) 在 Routerl 上 ， 配 置 OSPF 协议 。 

Router (config) #router ospf 1 

Router (config-router) #network 192.168.0.0 0.0.0.255 area 0 

(4) 在 Router4 上 ， 配 置 OSPF 协议 。 

Router (config) #router ospf 1 

Router (config-router) #network 192.168.0.0 0.0.0.255 area 0 

Router (config-router) #network 172.18.0.0 0.0.255.255 area 0 

(5) 在 Router3 上 ， 配 置 OSPF 协议 。 

Router (config) #router ospf 1 

Router (config-router) #network 192.168.0.0 0.0.0.255 area 0 

Router (config-router) #network 172.17.0.0 0.0.255.255 area 0 


6.4.5 ”检查 路 由 表 
(1) 在 Router3 上 ， 查 看 路 由 表 。 


Router#show ip route 

Gateway of last resort is not set 

O 172.16.0.0/16 [110/1563] via 192.168.0.13, 00:01:15, Serial2/0 
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172.17.0.0/16 is directly connected, FastEthernet0/0 


[e] 


172.18.0.0/16 [110/782] via 192.168.0.17, 00:01:15, Serial3/0 
192.168.0.0/30 is subnetted, 5 subnets 

192.168.0.0 [110/1562] via 192.168.0.13, 00:01:15, Serial2/0 
192.168.0.4 [110/1562] via 192.168.0.13, 00:01:15, Serial2/0 
192.168.0.8 [110/1562] via 192.168.0.17, 00:01:15, Serial3/0 


2 


192.168.0.12 is directly connected, Serial2/0 
[3 192.168.0.16 is directly connected, Serial3/0 
(2) 查看 OSPF 邻居 。 


Router#show ip ospf neighbor 


Neighbor ID Pri State Dead Time Address Interface 
L92169008L3 1 FULL/- 00:00:39 L92516850>513 Serial2/0 
L92168s0817 1 FULL/- 00:00:35 L925 L680 Serial3/0 


6.4.6 ”查看 OSPF 链 路 状态 数据 库 


Router#show ip ospf database 
OSPF Router with ID (192.168.0.18) (Process ID 1) 
Router Link States (Area 0) 


Link ID ADV Router Age Seq# Checksum Link count 
L192.T690=0-1 L968 人 O05 673 0x80000005 0x0082b6 3 
L92168:059 L92160s 0 SE 0x80000004 0x004015 4 
L925H6650sDp L92166%0.17 Ty Ox80000005 0x00dc82 5 
L9250:08L3 L921690.13 214 0x80000006 0x00fbd0 6 
工 9256820209 Lo L60019 200 Ox80000005 0x0093be 5 


6.4.7 测试 OSPF 收敛 速度 


收敛 速度 , 反映 网 络 有 变化 后 , 网 络 中 路 由 器 上 的 路 由 表 重 新 达到 一 致 状态 所 需 的 时 间 。 
(1) 在 PCO 上 ， 跟 踪 数 据 包 路 径 。 
PC>Eracert LIAO 


Tracing route to 172.17.0.2 over a maximum of 30 hops: 


SS 8 ms 7 ms 72=16=:0:1 
2 2 JI ms 11 ms 192.168.0.2 
3 13° ms 18 ms 15 ms 192.168.0.14 
4 25 ms 28 ms 29 ms 172.171.0.2 


可 以 看 到 数据 包 是 通过 Router2 一 Router0 一 Router3， 如 图 6-17 所 示 。 
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192. 168.0.0/30 192. 168.0. 4/30 192. 168. 0. 8/30 
Ser3/0., 


Routerl 


入 
192 eg 12/30 192. 168. 0. 16/30 


PC2 
172.18.0.0716 
Switch0 


172.16.0.0716 


2 


172.17.0.0/16 
全 图 6-17 0SPF 选择 的 最 佳 路 径 
(2) 在 Router3 上 ， 关 闭 一 个 串 行 接口 。 


Router (config) #interface serial 2/0 


Router (config-if) #shutdown 

(3) 在 PC0 上 ， 再 次 跟踪 到 PC1 的 数据 包 路 径 。 

PCSEracert 17250720E2 

Tracing route to 172.17.0.2 over a maximum of 30 hops: 
9 ms 6 ms 7 ms ZEGD 

15 ms ll ms 13 ms 192.168.0.2 

14 ms 14 ms 16 ms 192.168.0.6 

19 ms 22 ms 15 ms L192-168=0=10 

26 ms 25 ms 29' ms 192.168.0.18 

6 29ms 30 ms 36 ms 47247022 


2 
3 
4 


Trace complete. 
你 可 以 看 到 数据 包 途 径 Router2 一 Router0 一 Router1 一 Router4 一 Router3， 收 和 敛 速度 很 快 ， 
如 图 6-18 所 示 。 


172.18.0.0716 


Switchgo 


172.16.0.0716 


2950-24 
Switchl 


172.17.0.0716 


全 图 6-18 0SPF 选择 的 路 径 
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6.4.8 OSPF 多 区 域 


打开 随 书 光盘 中 第 6 章 练习 “04 OSPF 多 区 域 pkt”， 网 络 拓扑 和 IP 地 址 规划 如 图 6-19 
所 示 。 配 置 OSPF 协议 支持 多 区 域 ， 国 家 上 骨干 网 是 OSPF 的 area 0 区域, 使 用 40.0.0.0/16 子 
网 ， 河 南 省 使 用 40.1.0.0/16 子 网 ， 配 置 为 OSPF 的 area 1， 河 北 省 使 用 40.2.0.0/16 子 网 ， 配 
置 为 OSPF 的 area 2。 

网 络 中 的 路 由 和 计算 机 按照 图 示 已 经 配置 好 了 人 P 地 址 ， 你 需要 在 这 些 路 由 器 上 配置 
OSPF。 


40. 0. 0. 0/16 


area 0 40.2.0 


PC-PT 
PC0 PC1 PC2 
40.1.1.0124 40.1.2.0/24 


40.2.1.0/24 40.2.2.0/24 40. 2, 3. 0/2: 


河北 40. 2. 0. 0/16 
area 2 


河南 40. 1. 0.0/16 


area 1 


从 图 6-19 0SPF 多 区 域 


配置 步骤 如 下 。 

(1) 在 RouterA 上 ， 启 用 和 配置 OSPF 协议 。 

RouterRA>en 

RouterRA#config 七 

RouterRA (config) #router ospf 1 

RouterA (config-router) #network 40.0.0.0 0.0.0.255 area 0 

(2) 在 RouterB 上 ， 启 用 和 配置 OSPF 协议 。 

RouterB (config) #router ospf 1 

RouterB (config-router) #network 40.0.0.0 0.0.255.255 area 0 

RouterB (config-router) #network 40.1.0.0 0.0.255.255 area 1 
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(3) 在 RouterC 上 ， 启 用 和 配置 OSPF 协议 。 

RouterC (config) #router ospf 1 

RouterC (config-router) #network 40.0.0.0 0.0.255.255 area 0 

RouterC (config-router) #network 40.2.0.0 0.0.255.255 area 2 

(4) 在 RouterD、RouterE 和 RouterF 上 ， 启 用 和 配置 OSPF 协议 。 

RouterD (config) #router ospf 1 

RouterD (config-router) #network 40.1.0.0 0.0.255.255 area 1 

(5) 在 RouterG、RouterH 和 Router 上， 启用 和 配置 OSPF 协议 。 

RouterG (config) #router ospf 1 

RouterG (config-router) #network 40.2.0.0 0.0.255.255 area 2 

(6) 在 RouterA 上 查看 路 由 表 。 

可 以 看 到 area 1 和 area 2 在 区 域 边界 路 由 器 上 没有 汇总 ， 在 area 0 中 可 以 看 到 area 1 和 
area 2 内 部 各 个 网 段 的 路 由 。 在 边界 路 由 器 手动 配置 可 以 将 area 1 网 络 中 的 网 段 汇总 为 
一 条 路 由 到 area 0。Packet Tracer 不 支持 在 OSPF 的 区 域 边界 汇总 ， 所 以 下 面 的 实验 将 
会 使 用 Dynamips 软件 演示 OSPF 将 area 1 的 网 络 汇总 成 一 条 通告 给 area 0 的 路 由 器 。 


RouterR#show ip route 


Gateway of last resort is not set 


40.0.0.0/8 is variably subnetted, 14 subnets, 2 masks 


© 40.0.0.0/30 is directly connected, Serial2/0 

40.0.0.4/30 is directly connected, Serial3/0 

O IR 40.1.0.0/30 [110/1562] via 40.0.0.1, 00:36:03, Serial2/0 

O IR 40.1.0.4/30 [110/1562] via 40.0.0.1, 00:36:03, Serial2/0 
OIA 40.1.0.8/30 [110/1562] via 40.0.0.1, 00:36:03, Serial2/0 

O IR 40.1.1.0/24 [110/1563] via 40.0.0.1, 00:17:58, Serial2/0 

O IR 40.1.2.0/24 [110/1563] via 40.0.0.1, 00:16:27, Serial2/0 

O IR 40.1.3.0/24 [110/1563] via 40.0.0.1, 00:02:06, Serial2/0 
OIA 40.2.0.0/30 [110/1562] via 40.0.0.6, 00:08:20, Serial3/0 
OIA 40.2.0.4/30 [110/1562] via 40.0.0.6, 00:08:20, Serial3/0 

O IR 40.2.0.8/30 [110/1562] via 40.0.0.6, 00:08:20, Serial3/0 
OIA 40.2.1.0/24 [110/1563] via 40.0.0.6, 00:08:20, Serial3/0 
OIA 40.2.2.0/24 [110/1563] via 40.0.0.6, 00:08:20, Serial3/0 

O IA 40.2.3.0/24 [110/1563] via 40.0.0.6, 00:08:20, Serial3/0 
IA 代表 OSPF 到 其 他 区 域 网 络 的 路 由 ， 中 括号 中 的 110 代表 管理 距离 ， 后 面 的 值 是 度 
RouterA#show ip ospf interface 一 -显示 接口 的 OSPF 配置 信息 和 状态 
RouterB#show ip ospf database 一 显示 路 由 的 链 路 状态 数据 库 
RouterA#debug ip ospf events 一 显示 OSPF 事件 ， 比 如 Hello 包 的 收发 
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以 上 实验 area 1 和 area 2 可 以 汇总 为 一 条 路 由 通告 给 area 0， 但 是 Packet Tracer 软件 模 


拟 的 路 


器 不 支持 区 域 汇 总 。 


| 65 RIP、EIGRP 和 OSPF 协议 的 对 比 


以 上 讲述 了 RIP、EIGRP 和 OSPF 的 配置 方法 ， 接 下 来 对 这 几 种 协议 进行 对 比 。 
6.5.1 路 由 协议 的 类 型 


路 由 协议 分 以 下 几 种 类 型 。 
" ”距离 矢量 协议 : 典型 代表 就 是 RIP， 其 特点 就 是 周期 性 广播 或 多 播 ， 将 自己 的 路 由 
表 通 告 给 其 他 路 由 器 。 


" ” 链 路 状态 协议 ， 典 型 代表 就 是 OSPF， 其 特点 就 是 周期 性 使 用 Hello 包 维 护 邻 居 信 


触发 式 更 新 链 路 状态 、 使 用 链 路 状态 数据 库 计 算 路 由 表 。 


" ”混合 型 协议 : 典型 代表 就 是 EIGRP， 为 什么 说 它 是 混合 的 呢 ? 因为 使 用 Hello 包 维 
护 邻 居 信息 、 触 发 式 更 新 ， 这 些 特 性 像 链 路 状态 的 部 分 特性 , 但 是 它 又 直接 通告 路 
由 表 到 其 他 路 由 器 ， 此 特性 是 距离 矢量 的 特性 ， 因 此 称 EIGRP 为 混合 型 。 

这 三 种 协议 的 功能 对 比如 表 6-2 所 示 。 

表 6-2 RIP、EIGRP 和 0SPF 协议 功能 对 比 


协议 类 型 


VLSM 支持 


链 路 状态 


荡 


在 
手动 汇总 否 是 
不 连续 子 网 支持 否 是 
路 由 传播 周期 性 广播 周期 性 组 播 触发 式 更 新 


度量 值 
跳 数 限制 


跳 数 带 带宽 


汇聚 

分 层 网 络 区 否 自制 系统 
更 新 直接 更 新 路 由 表 | 直接 更 新 路 由 表 触发 式 更 新 
路 由 计算 Bellman-Ford Bellman-Ford DUAL 


215 


莫 基 
计算 机 网 络 (修订 版 ) 


6.5.2 ”路 由 协议 的 优先 级 


如 果 网 络 中 的 路 由 器 运行 了 多 个 路 由 协议 ， 比 如 EIGRP 和 RIP， 这 两 个 协议 都 学 到 了 
到 某 个 网 段 的 路 由 。 到 底 以 哪 一 条 为 准 呢 ? 这 就 需要 用 动态 路 由 协议 的 管理 距离 (AD) 来 
确定 。 

管理 距离 是 用 来 衡量 接收 来 自 相 邻 路 由 器 上 路 由 选择 信息 的 可 信 度 的 。 一 个 管理 距离 是 
一 个 从 0 一 255 的 整数 值 ，0 是 最 可 信赖 的 ， 而 255 则 意味 着 不 会 有 业务 量 通过 该 路 由 。 

如 果 一 台 路 由 器 接收 到 两 个 对 同一 远程 网 络 的 更 新 内 容 ， 路 由 器 首先 要 检查 的 是 AD。 
如 果 一 个 被 通告 的 路 由 比 另 一 个 具有 较 低 的 AD 值 ， 则 那个 带 有 较 低 AD 值 的 路 由 将 会 被 放 
置 在 路 由 表 中 。 
如 果 两 个 被 通告 的 到 同一 网 络 的 路 由 具有 相同 的 AD 值 ， 则 路 由 协议 的 度量 值 (如 跳 数 
或 链 路 的 带宽 值 ) 将 被 用 作 寻 找到 达 远 程 网 络 最 佳 路 径 的 依据 。 被 通告 的 带 有 最 低 度 量 值 的 
路 由 将 被 放置 在 路 由 表 中 。 然 而 ， 如 果 两 个 被 通告 的 路 由 具有 相同 的 AD 及 相同 的 度量 值 ， 
那么 路 由 选择 协议 将 会 对 这 一 远程 网 络 使 用 负载 均衡 ( 即 它 所 发 送 的 数据 包 会 平分 到 每 个 链 
路 上 )。 

表 6-3 列 出 了 默认 的 管理 距离 。 

表 6-3 默认 管理 距离 


路 由 源 默认 AD 
连接 接口 0 
静态 路 由 1 
EIGRP 90 
OSPF 110 
RIP 120 
External EIGRP 170 
未 知 255 (这 个 路 由 绝 不 会 被 使 用 ) 


6.5.3 ”验证 路 由 协议 的 优先 级 


打开 随 书 光盘 中 第 6 章 练习 “05 验证 路 由 协议 优先 级 pkt”， 如 图 6-20 所 示 。 网 络 中 的 
路 由 器 和 计算 机 的 他 地 址 已 经 配置 。 


172.16.1.0 2 172.16.2.0 
255. 255. 255.0 255. 255. 255.0 


Router-PT 
Routerl 


Router-PT 2950T-24 | 
Router2 Switch2 PC2 


T 
月 
PC-PT 2360F24 Router-PT ~~ 1 
TD 
PC0 Sai Router0 


2 172.16.0.0 
村 172.16.5.0 2 172.16.4.0 ages 
255. 255. 255.0 Router-PT 255.255.255.0 255. 255.255.0 
Router3 
全 图 6-20 网 络 拓扑 
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需要 先 配 置 路 由 器 使 用 RIP 协议 , 再 配置 路 由 器 使 用 OSPF, 然后 配置 路 由 器 使 用 EIGRP 
协议 ， 最 后 添加 静态 路 由 。 查 看 路 由 器 的 路 由 表 ， 验 证 这 些 动态 路 由 协议 的 优先 级 。 

操作 步骤 如 下 。 

(1) 配置 网 络 中 的 路 由 器 使 用 RIP 协议 ， 在 所 有 的 路 由 器 上 运行 以 下 命令 。 


Router (config) #router rip 


Router (config-router) #network 172.16.0.0 
(2) 在 Router0 上 查看 路 由 表 。 


Router0#show ip route 


1 ee 


是 2 跳 。 


2 


E72 


E12 
E72 


2 


16 


-16 
于 /2 


16 


-16 
-16 


16 


.0.0/24 is subnetted, 6 subnets 


.0.0 is directly connected, FastEthernet0/0 


-1.0 is directly connected, Serial2/0 
soa0 L120/ via L172:16-1.27 00:00:22, Serial2/0 
.3.0 [120/2] via 172.16.5.2, 00:00:04, FastEthernet1/0 


[120/2] via 172.16.1.2, 00:00:22, Serial2/0 


.4.0 [120/1] via 172.16.5.2, 00:00:04, FastEthernet1/0 
172.16.5.0 is directly connected, FastEthernet1/0 


可 以 看 到 到 达 172.16.3.0/24 网 段 有 两 条 等 价 路 径 ， 管 理 距离 为 120， 度 量 值 为 2， 也 就 


(3) 配置 网 络 中 的 路 由 器 使 用 OSPF 协议 ， 使 这 些 路 由 器 工作 在 OSPF 区 域 0， 在 所 有 
的 路 由 器 上 运行 以 下 命令 。 


Router (config) #router ospf 1 


Router (config-router) #network 172.16.0.0 0.0.255.255 area 0 
(4) 在 Router0 上 查看 路 由 表 。 


Router0#show ip route 


[= + 


C 


BY 


2 


2 


172 
L712 
E72 
L372 


65 
-16-0- 
ER 读本 
6 
:16;: 
E 


0 
可 以 看 到 通过 RIP 


0 


0.0 
Ea0 
Za0 
3=0 
4.0 


0 


.0/24 is subnetted, 6 subnets 


is directly connected, FastEthernet0/0 

is directly connected, Serial2/0 

[i110/1562] via 172.16:1.2; 00:02:31, ‘Serial2/0 
[110/783] via 172.16.5.2, 00:01:51, FastEthernet1/0 
[110/782] via 172.16.5.2, 00:01:51, FastEthernet1/0 
is directly connected, FastEthernet1/0 


学 到 的 路 由 已 经 不 出 现 ， 只 显示 通过 OSPF 学 到 的 路 由 。 管理 距离 为 

110， 到 172.16.3.0/24 网 络 的 路 由 ， 度 量 值 为 7833， 是 一 条 最 佳 路 径 。 

(5) 配置 网 络 中 的 路 由 器 使 用 EIGRP 协议 ， 自 制 系统 编号 为 10， 在 所 有 的 路 由 器 上 运 
行 以 下 命令 。 


Router (config) #router eigrp 10 


Router (config-router) #network 172.16.0.0 
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(6) 在 Router0 上 查看 路 由 。 


Router0#show ip route 

Gateway of last resort is not set 
1 
LI2S1600. 
1 


0.0/24 is subnetted, 6 subnets 

0.0 is directly connected, FastEthernet0/0 

1.0 is directly connected, Serial2/0 

172.16.2.0 [90/21024000] via 172.16.1.2, 00:00:46, Serial2/0 
L263 

L216"430 


[90/20517120] via 172.16.5.2, 00:00:14, FastEthernet1/0 
[90/20514560] via 172.16.5.2, 00:00:14, FastEthernet1/0 


QD 


172.16.5.0 is directly connected, FastEthernet1/0 

可 以 看 到 通过 OSPF 和 RIP 协议 学 到 的 路 由 不 再 显示 ， 只 出 现 通过 EIGRP 学 到 的 路 
表 ， 因 为 EIGRP 协议 的 管理 距离 为 90， 比 OSPF 协议 和 RIP 协议 的 管理 距离 小 ， 达 到 
172.16.3.0/24 网 段 的 度量 值 为 20517120。 

(7) 在 Router2 上 禁用 EIGRP。 

Router2 (config) #no router eigrp 10 

(8) 在 Router0 上 添加 到 172.16.2.0/24 网 段 的 路 由 。 

Router0 (config) #ip route 172.16.2.0 255.255.255.0 172.16.1.2 ? 


<1-255> Distance metric for this route 
<cr> 
Router0 (config) # ip route 172.16.2.0 255.255.255.0 172.16.1.2 
一 -使 用 默认 的 RD 
默认 管理 距离 为 1， 可 改 为 其 他 的 值 
(9) 在 Router0 上 查看 路 由 表 。 
Router0#show ip route 
Gateway of last resort is not set 


172.16.0.0/24 is subnetted，6 subnets 


172.16.0.0 is directly connected, FastEthernet0/0 

172.16.1.0 is directly connected, Serial2/0 

S 723652200E70ORVULa L72316.Y-2 

O 172.16.3.0 [110/783] via 172.16.5.2, 00:03:23, FastEthernet1/0 

D 172.16.4.0 [90/20514560] via 172.16.5.2, 00:03:23, FastEthernet1/0 
€ 172.16.5.0 is directly connected, FastEthernet1/0 


到 172.16.2.0/24 网 段 的 路 由 是 静态 路 由 , 管理 距离 为 1, 因此 通过 RIP、OSPF 和 EIGRP 
学 到 的 到 该 网 段 的 路 由 都 不 出 现 。 

由 于 在 Router2 上 禁用 了 EIGRP， 到 172.16.3.0/24 网 段 的 路 由 是 通过 OSPF 学 到 的 。 可 
见 路 由 器 上 的 路 由 表 可 以 通过 多 个 人 P 协议 和 静态 路 由 共同 构造 。 

(10) 在 Router0 上 查看 路 由 器 运行 的 所 有 的 动态 路 由 协议 。 


在 
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i 


Router#show ip protocols 

通过 本 实验 ， 可 以 得 到 以 下 结论 : 

网 络 中 的 路 由 器 可 以 同时 运行 多 种 动态 路 由 协议 (通常 不 会 配置 路 由 器 同时 运行 多 种 动 
态 路 由 协议 ， 因 为 这 样 做 比较 消耗 路 由 器 的 CPU 和 网 络 带宽 ) 和 静态 路 由 ， 路 由 器 可 以 通 
过 多 个 动态 路 由 协议 学 到 到 某 个 网 段 的 路 由 , 管理 距离 值 较 小 的 协议 学 到 的 路 由 出 现在 路 
表 中 。 


Ex。 


6.6.1 实验 1: 配置 RIPv2 支持 变 长 子 网 


打开 随 书 光盘 中 第 6 章 “ 实 验 1 配置 i oe 
RIPv2 支持 变 长 子 网 pkt”。 网 络 拓扑 如 图 ee 
6-21 所 示 , 本 实验 用 来 验证 RIPv1 不 支持 变 
长 子 网 ，RIPv2 支持 变 长 子 网 。 

网 络 中 的 路 由 器 和 计算 机 都 已 经 配置 
好 了 IP 地 址 和 子 网 掩 码 。 你 需要 配置 这 些 
路 由 器 使 用 RIP 协议 。 查 看 Routerl 的 路 由 
表 是 否 正 确 ， 然 后 将 网 络 中 的 路 由 器 的 RIP 
协议 更 改 为 RIPv2， 再 次 查看 Routerl 的 路 
由 表 是 否 正确 。 

操作 步骤 如 下 。 


(1) 在 所 有 的 路 由 器 上 运行 以 下 命令 启 ” 衬 守 二 
用 RIPv1。 A 图 6-21 变 长 子 网 网 络 拓扑 


Router (config) #router rip 

Router (config-router) #network 192.168.0.0 
(2) 查看 Routerl 的 路 由 表 。 

Router#show ip route 

Gateway of last resort is not set 


192.168.0.0/24 is variably subnetted, 3 subnets, 2 masks 


192.168.0.0/29 is directly connected, Serial3/0 
192.168.0.8/29 is directly connected, Serial2/0 
192.168.0.64/26 is directly connected, FastEthernet0/0 


可 以 看 到 根本 就 没有 通过 RIP 学 到 到 其 他 网 段 的 路 由 表 。 
(3) 在 所 有 的 路 由 器 上 运行 以 下 命令 ， 将 RIP 更 改 为 RIPv2。 
Router (config) #router rip 
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Router (config-router) #version 2 
(4) 再 次 查看 Routerl 上 的 路 由 表 。 


Router#show ip route 


Gateway of last resort is not set 
19201685 
192-.168- 


-0/24 is variably subnetted, 5 subnets, 4 masks 
-0/29 is directly connected, Serial3/0 


192.168.0.32/27 [120/1] via 192.168.0.1, 00:00:01, Serial3/0 
192.168. 


192.168.0.128/25 [120/1] via 192.168.0.10, 00:00:03, Serial2/0 
现在 学 到 了 网 络 中 的 所 有 网 段 ， 你 也 可 以 查看 Router0 和 Router2 的 路 由 表 。 


6.6.2 ”实验 2: 配置 RIPv2 支持 不 连续 子 网 


打开 随 书 光盘 中 第 6 章 “ 实 验 2 配置 
RIPv2 支持 不 连续 子 网 pkt”， 网 络 拓扑 如 
图 6-22 所 示 。A 区 域 是 192.168.0.0/24 这 
个 C 类 网 络 划 分 的 子 网 被 B 区 域 
192.168.1.0/24 这 个 C 类 划分 的 子 网 络 给 
隔 开 了 , 对 于 192.168.0.0 这 个 C 类 网 络 划 
分 的 子 网 就 不 连续 了 。 网 络 中 的 路 由 器 和 
计算 机 已 经 按照 图 中 所 示 的 人 P 地 址 进行 
了 设置 。 

这 个 实验 将 会 验证 关闭 RIPv2 的 自动 
汇总 ， 使 之 支持 不 连续 子 网 。 


0 
0 
192.168.0.8/29 is directly connected, Serial2/0 
0 
0.64/26 is directly connected, FastEthernet0/0 
0 


es 


192. 168. 1 


操作 步骤 如 下 。 198.160.0.0 192. 168.0.64 192. 168.0. 128 
(1) 在 Router0、Routerl 和 Router2 DE Se 
上 启用 RIP 协议 ， 更 改 为 RIPV2， 运 行 以 从 图 6-22 不 连续 子 网 网 络 拓扑 
下 命令 。 


Router (config) #router rip 
Router (config-router) #network 192.168.0.0 
Router (config-router) #network 192.168.1.0 
Router (config-router) #version 2 
(2) 在 Routerl 上 ， 查 看 路 由 表 。 
Router#show ip route 
Gateway of last resort is not set 
192.168.0.0/24 is variably subnetted, 2 subnets, 2 masks 
R 192.168.0.0/24 [120/1] via 192.168.1.1, 00:00:11, Serial3/0 
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[120/1] via 192.168.1.6; 00:00:12, Serial2/0 


区 192.168.0.64/26 is directly connected, FastEthernet0/0 


192.168.1.0/30 is subnetted, 2 subnets 


[a 192.168.1.0 is directly connected, Serial3/0 


CG 192.168.1.4 is directly connected, Serial2/0 
可 以 看 到 到 192.168.0.0/24 网 段 有 两 个 路 径 ， 进 行 了 错误 的 汇总 ， 得 到 了 错误 的 路 由 。 
(3) 在 Router0、Routerl 和 Router2 上 关闭 RIPv2 自动 汇总 ， 运 行 以 下 命令 。 


Router (config) #router rip 


Router (config-router) #no auto-summary 
(4) 在 Routerl 上 再 次 查看 路 由 表 。 
Router#clear ip route * 一 -该 命令 用 于 清除 以 前 通过 RIP 学 到 的 路 由 


Router#show ip route 


Router#show ip route 


192.168.0.0/24 is variably subnetted, 3 subnets, 2 masks 
192.168.0.0/26 [120/1] via 192.168.1.1, 00:00:07, Serial3/0 
192.168.0.64/26 is directly connected, FastEthernet0/0 
192.168.0.128/26 [120/1] via 192.168.1.6, 00:00:00, Serial2/0 
192.168.1.0/30 is subnetted, 2 subnets 

192.168.1.0 is directly connected, Serial3/0 

< 192.168.1.4 is directly connected, Serial2/0 


关闭 自动 汇总 后 ， 网 络 中 的 所 有 网 段 都 出 现 了 。 
6.6.3 实验 3: 配置 EIGRP 手动 汇总 
EIGRP 会 自动 在 类 的 边界 自动 汇总 ， 你 可 以 使 用 CIDR 汇总 连续 的 网 络 。 


打开 随 书 光 
盘 中 第 6 章 “ 实 验 
3 配置 EIGRP 手 
动 汇总 .pkt”， 网 
络 拓扑 如 图 6-23 
所 示 , 网 络 中 的 路 
由 器 已 经 配置 好 
了 IP 地 址 。 本 实 
验 可 以 验证 
EIGRP 的 自动 汇 
总 和 配置 EIGRP 
手动 汇总 。 


PC-PT 
pCO 192. 168.16.0/24 


172.16.1.2130 2 


10.7.78.0/24 


PC-PT T 
Pe 192.168.17.0124 


RouterA 


10.7.79.0/24 


PC-PT 192.168.18.0/24 


192. 168. 19.0/24 


全 图 6-23 EIGRP 手动 汇总 


可 以 看 到 A 区 域 的 4 个 连续 的 C 类 网 络 , 可 以 合并 为 192.168.16.0/22.B 区 域 是 10.0.0.0/8 
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A 类 网 络 划 分 的 两 个 子 网 。 

你 需要 在 RouterA 和 RouterB 上 配置 EIGRP。 在 RouterA 上 手动 将 192.168.16.0/24、 
192.168.17.0/24、192.168.18.0/24 和 192.168.19.0/24 汇总 成 一 条 路 由 通告 给 RouterB。 

操作 步骤 如 下 。 

(1) 在 RouterA 上 启用 EIGRP。 

RouteraA (config) #router eigrp 10 

RouterRA (config-router) #network 192.168.16.0 

RouterA (config-router) #network 192.168.17.0 

RouterA (config-router) #network 192.168.18.0 

RouterA (config-router) #network 192.168.19.0 

RouterA (config-router) #network 172.16.0.0 

(2) 在 RouterB 上 启用 EIGRP。 

RouterB (config) #router eigrp 10 

RouterB (config-router) #network 172.16.0.0 

RouterB (config-router) #network 10.0.0.0 

(3) 在 RouterB 上 查看 路 由 表 。 

RouterB#show ip route 

Gateway of last resort is not set 

10.0.0.0/8 is variably subnetted, 3 subnets, 2 masks 

D 10.0.0.0/8 is a summary, 00:00:29, Null0 
10.7.78.0/24 is directly connected, FastEthernet0/0 
10.7.79.0/24 is directly connected, FastEthernet1/0 
172.16.0.0/16 is variably subnetted, 2 subnets, 2 masks 
172.16.0.0/16 is a summary, 00:00:29, Null0 
172.16.1.0/30 is directly connected, Serial3/0 
192.168.16.0/24 [90/20514560] via 172.16.1.1, 00:00:38, Serial3/0 
192.168.17.0/24 [90/20514560] via 172.16.1.1, 00:00:38, Serial3/0 
192.168.18.0/24 [90/20514560] via 172.16.1.1, 00:00:38, Serial3/0 

D 192.168.19.0/24 [90/20514560] via 172.16.1.1, 00:00:38, Serial3/0 

学 到 了 192.168.16.0/24、192.168.17.0/24、192.168.18.0/24 和 192.168.19.0/24 四 个 网 段 的 
路 由 ， 需 要 手动 汇总 。 

(4) 在 RouterA 上 进行 手动 汇总 。 


RouterRA (config) #interface serial 2/0 


口 


,= 


RouterRA (config-if) #ip summary-address eigrp 10 192.168.16.0 255.255.252.0 
(5) 在 RouterB 上 查看 路 由 表 。 

RouterB#show ip route 

Gateway of last resort is not set 
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10.0.0.0/8 is variably subnetted, 4 subnets, 3 masks 
10.0.0.0/8 is a summary, 00:09:13, Null0 
10.7.78.0/23 is a summary, 00:00:34, Null0 
10.7.78.0/24 is directly connected, FastEthernet0/0 


[| 


10.7.79.0/24 is directly connected, FastEthernet1/0 
172.16.0.0/16 is variably subnetted, 2 subnets, 2 masks 


口 


172.16.0.0/16 is a summary, 00:09:13, Null0 
172.16.1.0/30 is directly connected, Serial3/0 
192.168.16.0/22 [90/20514560] via 172.16.1.1, 00:00:34, Serial3/07 
一 -汇总 成 一 条 
可 以 看 到 到 达 A 区 域 4 个 C 类 网 络 的 路 由 汇总 成 一 条 。 
(6) 在 RouterA 上 查看 路 由 表 。 
RouterA#show ip route 
D 10.0.0.0/8 [90/20514560] via 172.16.1.2, 00:14:27, Serial2/0 
一 将 B 区 域 自动 汇总 
172.16.0.0/16 is variably subnetted, 2 subnets, 2 masks 
172.16.0.0/16 is a summary, 00:24:16, Null0 


全 


172.16.1.0/30 is directly connected, Serial2/0 
192.168.16.0/24 is variably subnetted, 2 subnets, 2 masks 
192.168.16.0/22 is a summary, 00:16:44, Null0 
192.168.16.0/24 is directly connected, FastEthernet0/0 
192.168.17.0/24 is directly connected, FastEthernet1/0 


192.168.19.0/24 is directly connected, FastEthernet5/0 
第 一 条 路 由 ，EIGRP 默认 在 类 的 边界 自动 汇总 ， 将 B 区 域 的 两 个 子 网 自动 汇总 为 


D 

G 

人 

ce 192.168.18.0/24 is directly connected, FastEthernet4/0 
c 

看 


PI 条 > 
6.6.4 实验 4: OSPF 排 错 


打开 随 书 光盘 中 第 6 章 “ 实 验 4 1 Ro 
OSPF 排 错 .pkt”， 网 络 拓扑 如 图 6-24 所 
示 , 网 络 中 的 计算 机 和 路 由 器 已 经 配置 好 
了 了 IP 地 址 , 3 个 路 由 器 都 配置 了 OSPF 协 
议 ， 工 作 在 area 0。 但 是 PC0 不 能 ping 
通 PC2, 你 需要 快速 找到 OSPF 配置 的 错 2 


192. 168. 1.0/24 192. 168. 2. 0/24 
2 


误 -PT PEC-PT PC-PT 
误 并 改正 。 Te PC1 PC2 
操作 步骤 如 下 。 192. 168.0. 0/24 i 192. 168. 4. 0/24 


(1) 在 所 有 的 路 由 器 上 运行 以 下 命 全 图 6-24 网 络 拓扑 
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令 ， 查 看 OSPF 的 配置 。 
Router#show ip protocols 
注意 观察 network 和 area 的 配置 是 否 正确 。 如 果 有 错误 ， 改 正 。 
(2) 改正 后 在 所 有 的 路 由 器 上 运行 以 下 命令 查看 路 由 表 。 


Router#show ip route 


总 结 


下 面 比较 RIP 协议 、EIGRP 协议 和 OSPF 协议 。 

RIP 协议 是 距离 矢量 协议 ， 在 RIP 协议 中 ， 通 过 周期 性 更 新 路 由 表 来 检测 网 络 变化 ， 在 
图 6-25 中 ， 可 以 看 到 各 个 路 由 器 是 如 何 学 到 到 5 网 段 的 路 由 ， 度 量 值 〈 也 就 是 距离 ) 是 如 
何 增加 的 。 


运行 RIP 协 议 的 路 由 器 通过 周 
期 dt 


B 
oO 


O 


日 三 Cr pa 


运行 RiP 协议 的 这 些 路 由 器 周期 性 通告 路 由 信息 。 
每 隔 30 秒 一 次 ， 即 便 网 络 没有 变化 。 

为 啥 需要 周期 性 通告 路 由 信息 ? 

有 了 这 个 更 新 周期 ， 路 由 器 A 不 幸 宕 机 后 

其 他 路 由 器 在 180 秒 的 时 间 没 有 收 到 5 网 段 的 路 由 通告 
就 会 从 路 由 表 删 除 该 条 路 由 。 

如 果 没 有 周期 性 更 新 这 种 机 制 ，A 路 由 器 宕 机 后 ， 

其 他 路 由 器 怎么 知道 该 删除 到 5 网 段 的 路 由 呢 ? 


从 图 6-25 RIP 协议 特点 
OSPF 协议 是 链 路 状态 协议 ， 该 协议 的 特点 : 路 由 器 周期 性 发 送 Hello 数据 包 来 发 现 邻 
居 以 及 和 邻居 保持 联系 ， 来 断定 网 络 是 否 发 生变 化 。 如 图 6-26 所 示 ，A 路 由 器 宕 机 ，B 路 
由 器 使 用 Hello 包 联 系 不 上 A 路 由 器 ， 就 会 告诉 其 他 路 由 器 网 络 发 生变 化 ， 所 有 路 由 器 重新 
计算 路 由 表 。 这 种 更 新 是 触发 式 更 行 。 
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运行 OSPF 协 议 的 路 由 器 ， 使 用 Hello 保 持 联系 


老 C、 老 D， 联 系 不 上 老 A 
了 ， 咱 们 重新 算 路 由 表 


必 0 
Hello 老 A， 你 还 ~ 
健在 么 ? … 


没 响 应 。 o 计算 路 由 表 。 


5.0.0.0/8 


计算 路 由 表 。 
运行 0SPF 协 议 的 路 由 器 每 隔 10 秒 发 送 Hello 包 ， 监 控 邻 居 的 状态 ， 
这 比 RIP 协 议 周 期 性 更 新 路 由 表 节 省 网 络 带 宽 。 


在 图 中 A 路 由 器 宕 机 的 情况 是 由 B 路 由 器 通告 出 去 的 。 
重新 计算 路 由 表 的 结果 ， 所 有 路 由 器 删除 到 5 网 段 的 路 由 。 


从 图 6-26 0SPF 协议 特点 
IEGRP 协议 是 链 路 状态 和 距离 矢量 的 混合 协议 ， 因 为 其 具有 以 下 特点 : 
， ”使 用 Hello 包 和 和 邻居 保持 联系 〈 这 是 链 路 状态 协议 的 特点 ) 
”如 果 网 络 有 变化 ， 直 接 通知 相 邻 路 由 器 更 新 路 由 表 〈 这 是 距离 矢量 协议 的 特点 ) 
所 以 说 EIGRP 是 混合 协议 ， 其 特点 如 图 6-27 所 示 。 
运行 EGRP 协 议 的 路 由 器 ， 使 用 Hello 和 邻居 保持 联系 
如 果 网 络 有 变化 直接 通知 邻居 更 改 路 由 表 。 


老 C、 老 D， 联 系 不 上 老 A 
了 ， WE 
明白 ， 人 删除 到 5 
网 段 的 路 由 。 
He 你 还 
在 和 Oo o 明 百 ,删除 到 s 
没 响 应 。 o 网 段 的 路 由 。 


5.0.0.0/8 


明白 ， 删 除 到 5 网 
段 的 路 由 。 


全 图 6-27 EIGRP 协议 特点 
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RIP、OSPF 和 EIGRP 比较 汇总 如 表 6-3 所 示 。 
表 6-3 RIP、0SPF 和 EIGRP 比较 汇总 表 
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RIP OSPF EIGRP 
协议 类 型 距离 矢量 链 路 状态 混合 
管理 距离 120 110 90 
度量 值 跳 数 带宽 默认 带宽 和 延迟 
路 由 汇总 默认 自动 汇总 只 支持 人 工 汇总 默认 自动 汇总 
跳 数 最 大 15 跳 不 受 限制 最 大 255 跳 
是 否 专 有 开放 开放 Cisco 专 有 
邻居 表 邻居 表 
中 的 表 | 路 由 表 拓扑 表 拓扑 表 
路 由 表 路 由 表 
周期 性 更 新 路 由 表 触发 式 更 新 触发 式 更 新 


IE 


1. 路 由 信息 协议 RIP 是 内 部 网 关 协 议 IGP 中 使 用 得 最 广泛 的 一 种 基于 QD ”的 协 
议 ， 其 最 大 的 优点 是 (2) 。RIP 规定 数据 每 经 过 一 个 路 由 器 ， 跳 数 增加 1。 
实际 使 用 中 ， 一 个 通路 上 最 多 可 包含 的 路 由 器 数量 是 (3) ， 更 新 路 由 表 的 原则 
是 : 使 到 各 目的 网 络 的 _ (4) _。 更 新 路 由 表 的 依据 是 : 若 相 邻 路 由 器 说 :“ 我 到 
目的 网 络 Y 的 距离 为 N”， 则 收 到 此 信息 的 路 由 器 K 就 知道 :“ 若 将 下 一 站 路 由 器 
选 为 X， 则 我 到 网 络 Y 的 距离 为 (5) _”。 


(1) A. 链 路 状态 路 由 算法 B. 距离 矢量 路 由 算法 
C. 集中 式 路 由 算法 D. 固定 路 由 算法 
(2) A. 简单 B. 可 靠 性 高 
C. 速度 快 D. 功能 强 
(3y 二 本 B. 16 个 
C.15 个 D. 无 数 个 
(4) A. 距离 最 短 B. 时 延 最 小 
C. 路 由 最 少 D. 路 径 最 空闲 
(5) AN B.N 一 1 
Ct D.N+1 
2. 在 RIP 协议 中 ， 默 认 的 路 由 更 新 周期 是 ” 秒 。 
A.30 B.60 C.90 D. 100 


3. 以 下 协议 中 支持 可 变 长 子 网 掩 码 (VLSM) 和 路 由 汇聚 功能 (Route Summarization) 


的 是 
A. IGRP B. OSPF C. VIP D. RIPvl1 
4. 对 路 由 选择 协议 的 一 个 要 求 是 必须 能 够 快速 收敛 ， 所 谓 “ 路 由 收敛 ”是 指 ” _。 
A. 路 由 器 能 把 分 组 发 送 到 预定 的 目标 
B. 路 由 器 处 理 分 组 的 速度 足够 快 
C. 网 络 设备 的 路 由 表 与 网 络 拓扑 机 构 保持 一 致 
D. 能 把 多 个 子 网 汇聚 成 一 个 超 网 
5. 以 下 关于 OSPF 协议 的 描述 中 ， 最 准确 的 是 。 
A. OSPF 协议 根据 链 路 状态 法 计算 最 佳 路 由 
B. OSPF 协议 是 用 于 自治 系统 之 间 的 外 部 网 关 协 议 
C. OSPF 协议 不 能 根据 网 络 通信 情况 动态 地 改变 路 由 
D. OSPF 协议 只 能 适用 于 小 型 网 络 
6. RIPvV1 与 RIPv2 的 区 别 是 。 _。 
A. RIPv1 是 距离 矢量 路 由 协议 ， 而 RIPv2 是 链 路 状态 路 由 协议 
B. RIlPv1 不 支持 可 变 长 子 网 掩 码 ， 而 RIPv2 支持 可 变 长 子 网 拖 码 
C. RIPv1 每 隔 30 秒 广 播 一 次 路 由 信息 ， 而 RIPv2 每 隔 90 秒 广播 一 次 路 由 信息 
D. RIPv1 的 最 大 跳 数 为 1 5， 而 RIPv2 的 最 大 跳 数 为 30 
7. 关于 OSPF 协议 ， 下 面 的 描述 中 不 正确 的 是 _。 
. OSPF 是 一 种 链 路 状态 协议 
.OSPF 使 用 链 路 状态 公告 (LSA) 扩散 路 由 信息 
. OSPF 网 络 中 用 区 域 1 来 表示 主干 网 段 
.OSPF 路 由 器 中 可 以 配置 多 个 路 由 进程 


> 


| 
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本 章 介 绍 交 换 机 、 集 线 器 和 网 桥 设备 的 区 别 ,交换 机 如 何 优化 网 络 ， 设 计 高 可 用 的 交换 


管理 。 
本章 主要 内 容 : 
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局 域 网 组 网 设备 


本 章 提 及 的 交换 ， 都 是 指 的 二 层 交 换 ， 除 非 另 有 所 指 。 下 面 讲解 局 域 网 组 网 技术 的 发 展 
过 程 ， 将 会 为 大 家 介绍 集线器 、 网 桥 和 交换 机 的 特点 。 


7.1.1 集线器 


我 们 在 第 1 章 讲 过 , 集线器 连接 的 网 络 是 一 个 。” ”一 ~、 p= 
大 的 冲突 域 。 集 线 器 上 的 两 个 结 点 通信 ， 虽然 数据 。 / 
帧 目标 MAC 地 址 和 源 MAC 很 明确 ， 但 是 集线器 
还 是 将 该 数据 帧 扩散 到 所 有 的 端口 , 这 样 就 影响 了 | 
集线器 上 其 他 的 结 点 进行 数据 通信 , 因此 说 集线器 。 
连接 的 网 络 是 一 个 冲突 域 。 

如 图 7-1 所 示 ， 网 段 中 计算 机 的 数量 增多 ， 
需要 两 个 集线器 连接 起 来 以 确保 有 更 多 的 接口 连 
接 计算 机 ， 这 样 使 得 冲突 域 增 大 。 集 线 器 连接 的 和 图 7-1 集 线 加 连接 的 网 络 
网 络 共享 带宽 ， 如 果 10M 的 以 太 网 连接 10 台 计 
算 机 ， 每 个 计算 机 平均 得 到 1M 带宽 ， 但 是 随 着 计算 机 数量 、 冲 突 的 增加 ， 每 个 计算 机 得 到 
的 带宽 会 小 于 平均 带宽 。 

有 没有 办 法 将 集线器 组 网 产生 的 大 的 冲突 域 减 小 ? 有, 那 就 是 在 网 络 中 使 用 网 桥 优化 集 
线 器 连接 的 网 络 。 


7.1.2 ”网 桥 


在 两 个 集线器 之 间 连 接 一 个 网 桥 , 网 桥 能 够 基于 MAC 地 址 表 转 发 数据 。 如 图 7-2 所 示 ， 
网 桥 有 两 个 以 太 网 接口 E0 和 
El, 并 且 知道 E0 对 应 哪些 MAC 网 桥 
地 址 ，E1 对 应 哪些 MAC 地 址 。 
当 计 算 机 A 给 计算 机 B 发 送 一 个 
数据 帧 ,集线器 将 该 数据 帧 扩散 。” ， 
到 所 有 的 接口 ， 网 桥 的 E0 接口 | | 
收 到 该 数据 帧 ， 查 看 目标 MAC 
地 址 0260.8c01.222 ， 该 目标 


WMAcaddresstable a 


E0: 0260.8c01.1111 


E0: 0260.8c012222]| 


E1: 0260.8c01.3333 |/ 
\E1: 0260.8c01.4444 


) 


0260.8c01.4444 / 


NS - 标 MAC 地 址 
MAC 对 应 E0 接口 , 于 是 不 转发 一 mr mm 
到 El 接口 ， 这 样 就 不 影响 计算 1 
机 C 和 计算 机 D 计算 机 的 通信 。 二 7 国 所 从 化 网 全 


网 桥 将 一 个 大 的 冲突 域 划 分 成 两 个 冲突 域 ， 冲 突 域 的 数量 增加 了 ， 但 是 冲突 域 减 小 了 
网 桥 的 一 个 接口 就 是 一 个 冲突 域 。 

如 果 网 络 中 的 计算 机 发 送 一 个 目标 MAC 地 址 为 FFFF.FFFF.FFFF 的 数据 帧 ， 这 样 的 数 
据 帧 称 为 广播 ， 比 如 ARP 协议 就 是 使 用 广播 解析 对 方 MAC 地 址 的 ， 网 桥 会 将 这 样 的 帧 转 


发 到 除了 发 送 端口 的 所 有 端口 。 所 有 的 端口 在 同一 个 广播 域 。 

网 桥 基 于 数据 帧 的 源 地 址 构建 MAC 地 址 表 。 刚 接 入 到 网 上 的 网 桥 MAC 地 址 表 是 空 的 ， 
这 时 计算 机 A 给 计算 机 B 发 送 数据 帧 ， 网 桥接 口 E0 将 收 到 该 数据 帧 ， 并 将 该 数据 帧 发 送 到 
网 桥 的 所 有 接口 ， 与 此 同时 ， 将 会 在 MAC 地 址 表 中 记录 E0:026.8c01.1111。 计 算 机 B 给 计 
算 机 A 发 送 数据 帧 ， 网 桥 不 会 将 该 数据 帧 转发 到 El 端口 ， 因 为 在 MAC 地 址 表 中 已 经 有 关 
于 到 计算 机 A 的 MAC 地 址 ， 同 时 也 会 在 MAC 地 址 表 中 记录 E0:026.8c01.2222。 


7.1.3 ”交换 机 


交换 机 〈Switch) 是 高 性 能 的 网 桥 ， 交 换 机 可 以 看 
做 是 多 端口 的 网 桥 。 网 桥 是 基于 软件 ， 而 交换 机 基于 硬 
件 ， 因 为 交换 机 使 用 ASIC 芯片 来 帮助 它 做 出 数据 帧 转 
发 的 决定 。 构 建 MAC 地 址 的 过 程 和 网 桥 一 样 ， 交 换 机 
可 以 “学 习 ”MAC 地 址 ， 并 将 其 存放 在 内 部 地 址 表 中 ， 
通过 在 数据 帧 的 始 发 者 和 目标 接收 者 之 间 建 立 临时 的 交 
换 路 径 ， 使 数据 帧 直接 由 源 地 址 到 达 目 的 地 址 。 


如 图 7-3 所 示 ， 交 换 机 和 集线器 相 比 有 以 下 优点 。 交换 机 的 每 一 个 端口 是 一 个 冲突 域 

he 基于 数据 帧 的 MAC 地 址 转发 数据 
I 个 端口 是 个 冲突 域 。 让 站 的 用 后 丰 网- 玉昌 所 

， ”交换 机 的 端口 独 享 带宽 。 和 A 图 7-3 交换 机 的 作用 


" ”交换 机 比 集线器 安全 。 

将 目标 MAC 地 址 为 FF-FF-FF-FF-FF-FF 的 数据 帧 发 送 到 所 有 交换 机 的 端口 (除了 发 送 
端口 外 )， 因 此 交换 机 连接 的 网 络 是 一 个 广播 域 。 

交换 机 有 以 下 功能 。 

"构建 MAC 地 址 表 ， 即 地 址 学 习 。 

" ”转发 /过 滤 功 能 。 

如 果 为 了 提供 元 余 而 在 交换 机 之 间 创 建 了 多 个 连接 ， 网络 中 可 能 出 现 环 路 。 通 过 使 用 生 
成 树 协 议 (Spanning Tree Protocol，STP) 可 以 防止 产生 网 络 环 路 ， 避 免 广播 风暴 。 


7.1.4 查看 交换 机 的 MAC 地 址 表 


打开 随 书 光盘 中 第 7 章 练习 “01 
查看 交换 机 的 MAC 地 址 表 .pkt”， 网 192. 168.0.0724 
络 拓 扑 如 图 7-4 所 示 , 网 络 中 的 交换 
机 直 连 着 3 个 计算 机 、1 个 DHCP 
服务 器 和 一 个 集线器 ， 集 线 器 又 连 
接着 两 台 计算 机 。 网 络 中 的 计算 机 
已 经 按照 图 示 的 地 址 配置 完成 。 


你 需要 在 PC4 上 ping PC1、 ed a Pe PC ServerPr 
PC2、 PC3、 PC0 和 DHCP， 然 后 14 13 12 i 10 254 
查看 交换 机 上 的 MAC 地 址 表 , 通过 全 图 7-4 查看 交换 机 的 MAC 地 址 表 
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查看 MAC 地 址 表 确 认 交 换 机 的 哪个 接口 连接 集线器 。 
操作 步骤 如 下 。 
(1) 在 PC4 上 ping PC1、PC2、PC3、PC0 和 DHCP 的 IP 地 址 。 
(2) 在 交换 机 上 查看 MAC 地 址 表 。 
Switch>en 一 -交换 机 的 配置 命令 和 路 由 器 类 似 ， 输 入 enable 进入 特权 模式 
Switch#show mac-address-table 


Mac Address Table 


0090.0cd7.65c8 DYNAMIC Fa0/2 
1 00d0.ffce.0eb4 DYNAMIC Fa0/3 
通过 以 上 MAC 地 址 表 可 以 看 到 , Fa0/4 接口 对 应 着 两 个 MAC 地 址 , 可 以 断定 该 接口 连 
接 集线器 。 


7.1.5 ”交换 机 上 配置 监控 端口 


交换 机 是 基于 MAC 地 址 转发 数 
据 包 的 ， 比 起 集线器 来 说 更 安全 。 如 
图 7-5 所 示 ， 在 交换 机 组 建 的 网 络 中 Et 
的 监控 计算 机 上 安装 数据 包 捕获 软 
件 ， 用 以 监控 和 分 析 网 络 中 的 流量 。 
监控 计算 机 只 能 监控 自己 发 出 的 数 
据 帧 、 发 给 自己 的 数据 帧 ， 以 及 广播 
和 多 播 数 据 帧 ,但 是 PC0、PC1 和 PC2 
访问 Intemet 的 流量 ， 监 控 计算 机 则 
不 能 捕获 ， 因 为 交换 机 不 向 连接 监控 
计算 机 的 端口 Fa0/12 转发 数据 帧 。 
如 果 你 想 监 控 PCO、PC1 和 PC2 
访问 Internet 的 流量 ， 这 些 流 量 都 由 
交换 机 的 Fa0/11 转发 到 路 由 器 , 如 果 全 图 7-5 配置 交换 机 监控 端口 
想 让 监控 计算 机 捕获 到 这 些 流量 , 你 
需要 配置 Fa0/12 监控 Fa0/11。 这 样 , 发 送 给 Fa0/11 端口 的 数据 帧 和 来 自 Fa0/11 端口 的 数据 ， 
交换 机 也 会 发 送 给 Fa/12 端口 ， 如 此 捕 包 软 件 才能 捕获 。 


Fa0/12 监 视 Fa0/11 


1. 实验 环境 
packet Tracer 不 支持 该 实验 ， 因 此 你 只 能 在 物理 设备 上 进行 配置 和 测试 。 

2. 实验 目标 

配置 端口 FastEthemet 12 监视 FastEthemet 11 。 

3. 操作 步骤 

(1) 指定 监控 端口 。 监 控 端 口 和 被 监控 端口 必须 属于 同一 个 session 编号 。 

SW7 (config) #monitor session 2 destination interface FastEthernet 0/12 
(2) 指定 被 监控 端口 。 

SW7 (config) #monitor session 2 source interface FastEthernet 0/11 

(3) 查看 监控 和 被 监控 端口 ， 如 图 7-6 所 示 。 


SW7#show monitor session 2 


全 图 7-6 查看 监控 和 被 监控 端口 


[ 放 漳 生成 树 协议 


如 果 企 业 的 网 络 非 常 重要 (比如 医院 的 网 络 )。 为 了 避免 汇聚 层 和 核心 层 设备 故障 造成 
网 络 故 障 ， 可 以 设计 成 双核 心 层 和 双汇 聚 层 。 

如 图 7-7 所 示 ， 网 络 交换 机 C、D 和 是 接 入 层 交 
换 机 ， 交 换 机 A、B 是 汇聚 层 交 换 机 ， 很 显然 是 双汇 聚 

这 样 网 络 中 就 有 很 多 环 路 ， 如 果 Server 发 送 一 个 广 
播 数 据 帧 ， 该 数据 帧 将 会 在 任意 一 个 环 路 中 无 休止 地 转 
发 ， 造 成 广播 风暴 ， 网 络 堵塞 。 

如 何 既 能 实现 网 络 有 宛 余 拓扑 ， 又 能 避免 环 路 。 这 。 宛 余 拓扑 避免 单 点 失败 
就 需要 讲 到 交换 机 的 一 个 重要 的 功能 ， 也 即 下 面 要 介绍 。 宛 余 拓扑 产生 广播 风暴 
的 交换 机 生成 树 协议 。 ， 页 余 拓扑 产生 MAC 地 址 表 混 乱 


始 7-7“ 宛 余 拓 扑 
7.2.1 生成 树 协议 人 图 7-7 元 余 拓 站 


生成 树 协议 (STP) 最早 是 由 数字 设备 公司 (Dig ital Equipment Corporation，DEC) 开 
发 的 ， 这 个 公司 后 来 被 收购 并 改名 为 Compaq 公司 。IEEE 后 来 开发 了 它 自 己 的 STP 版 本 ， 

称 为 802.1D。Cisco 交换 机 默认 运行 STP 的 IEEE 802.1D 版 本 , 它 与 DEC 版 本 不 兼容 。Cisco 
在 其 新 出 品 的 交换 机 上 使 用 了 另 一 个 工业 标准 ， 称 为 802.1w， 这 一 节 介 绍 STP， 但 先 要 定 
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义 一 些 有 关 STP 的 重要 而 基本 的 概念 。 

STP 的 主要 任务 是 阻止 在 第 2 层 网 络 〈 网 桥 或 交换 机 ) 上 产生 网 络 环 路 。 它 警惕 地 监控 
着 网 络 中 的 所 有 链 路 , 通过 关闭 任何 元 余 的 接口 来 确保 在 网 络 中 不 会 产生 环 路 。STP 采用 生 
成 树 算法 STA 〈Spanning Tree Algorithm)， 它 首先 创建 一 个 拓扑 数据 库 ， 然 后 搜索 并 破坏 掉 
元 余 的 链 路 。 运 行 了 STA 算法 之 后 ， 帧 就 只 能 被 转发 到 保险 的 、 由 STP 挑选 出 来 的 链 路 上 。 


7.2.2 ”生成 树 术 语 


在 详细 讨论 STP 怎样 在 网 络 中 起 作用 之 前 ， 需 要 理解 一 些 基 本 的 概念 和 术语 ， 以 及 它 
们 是 怎样 与 第 2 层 交 换 式 网 络 联系 在 一 起 的 〈 下 面 提 到 的 桥 就 理解 为 交换 机 )。 


根 桥 (Rootbridge) : 是 桥 ID 最 低 的 网 桥 ， 也 就 是 根 交换 机 。 对 于 STP 来 说 ， 关 
键 的 问题 是 为 网 络 中 所 有 的 交换 机 推选 一 个 根 桥 , 并 让 根 桥 成 为 网 络 中 的 焦点 。 在 
网 络 中 , 所 有 其 他 的 决定 〈 比 如 哪 一 个 端口 要 被 阻塞 ， 哪 一 个 端口 要 被 置 为 转发 模 
式 ) 都 是 根据 根 桥 的 判断 来 做 出 选择 的 。 

桥 协议 数据 单元 (Bridge Protocol Data Unit，BPDU) : 所 有 的 交换 机 相互 之 间 都 
交换 信息 ,并 利用 这 些 信息 来 选 出 根 交换 机 或 进行 网 络 的 后 续 配置 。 每 台 交 换 机 都 
对 BPDU 中 的 参数 进行 比较 ， 它 们 将 BPDU 传送 给 某 个 邻居 ， 并 在 其 中 放 入 它们 
从 其 他 邻居 那里 收 到 的 BPDU。 

桥 ID (BridgeID) : STP 利用 桥 ID 来 跟踪 网 络 中 的 所 有 交换 机 。 桥 ID 是 由 桥 优 
先 级 〈 在 所 有 的 Cisco 交换 机 上 ， 默 认 的 优先 级 为 32768) 和 MAC 地 址 的 组 合 来 
决定 的 。 在 网 络 中 ， 桥 ID 最 小 的 网 桥 就 称 为 根 桥 。 

非 根 桥 CNonrootbridge) : 除了 根 桥 外 ， 其 他 所 有 的 网 桥 都 是 非 根 桥 。 它 们 相互 之 
间 都 交换 BPDU， 并 在 所 有 交换 机 上 更 新 STP 拓扑 数据 库 ， 以 防止 环 路 ， 并 对 链 
路 失效 采取 补救 措施 。 

端口 开销 〈Portcost) : 当 两 台 交 换 机 之 间 有 多 条 链 路 且 都 不 是 根 端口 时 ， 就 根据 
端口 开销 来 决定 最 佳 路 径 。 链 路 的 开销 取决 于 链 路 的 带宽 。 

根 端口 “Rootport) : 是 指 直接 连 到 根 桥 的 链 路 所 在 的 端口 ， 或 者 到 根 桥 的 路 径 最 
短 的 端口 。 如 果 有 多 条 链 路 连接 到 根 桥 ， 就 通过 检查 每 条 链 路 的 带宽 来 决定 端口 的 
开销 ， 开 销 最 低 的 端口 就 成 为 根 端口 。 如 果 多 条 链 路 的 开销 相同 ， 就 使 用 桥 ID 小 
一 些 的 那个 桥 。 如 果 多 条 链 路 来 自 同一 台 设 备 ， 就 使 用 端口 号 最 低 的 那 条 链 路 。 
指定 端口 (Designated Port) : 有 最 低 开 销 的 端口 就 是 指定 端口 ， 指 定 端口 被 标记 
为 转发 端口 。 

非 指定 端口 (Nondesignated Port) : 是 指 开销 比 指定 端口 高 的 端口 ， 非 指定 端口 将 
被 置 为 阻塞 状态 ， 它 不 是 转发 端口 。 

转发 端口 (Forwarding Port) : 是 指 能 够 转发 帧 的 端口 。 

阻塞 端口 (Blocked Port) : 是 指 不 能 转发 帧 的 端口 ， 这 样 做 是 为 了 防止 产生 环 路 。 
然而 ， 被 阻塞 的 端口 将 始终 监听 帧 。 


7.2.3 ”生成 树 的 操作 


正如 前 面 提 到 的 ，STP 的 任务 是 找到 网 络 中 的 所 有 链 路 ， 并 关闭 任何 元 余 的 链 路 ， 这 样 
就 可 以 防止 网 络 环 路 的 产生 。 为 了 达到 这 个 目的 ，STP 首先 需要 选举 一 个 根 桥 ， 由 根 桥 来 负 
责 决定 网 络 拓扑 。 一 旦 所 有 的 交换 机 都 同意 将 某 台 交换 机 选举 为 根 桥 ， 其 余 的 交换 机 就 必须 
找到 其 唯一 的 根 端 口 。 在 两 台 交换 机 之 间 的 每 一 条 链 路 必须 有 唯一 的 指定 端口 ， 在 那 条 链 路 


上 的 端口 提供 到 根 桥 最 大 的 带宽 。 wonB 
下 面 将 以 如 图 7-8 所 示 的 网 络 设备 品 g 各 外 gazro8 rf 
MAC 0c0022222222 RootBridge 


讲解 生成 树 的 过 程 ,生成 树 的 操作 分 为 以 i 
下 = 步 。 SD 

(1) 选举 根 桥 。 i me 

(2) 非 根 桥 交 换 机 确定 根 端口 。 

(3) 每 个 链 路 选 定 一 个 指定 端口 。 

1. 选举 根 桥 

在 以 上 网 络 中 有 A、B、C、D、E 和 
F 六 个 路 由 器 ， 网 桥 ID 最 小 的 将 被 选举 全 图 7-8 生成 树 操作 
为 根 桥 。 网 桥 ID 为 8 个 字 节 长 ， 其 中 包括 设备 的 优先 级 和 MAC 地 址 ， 在 运行 IEEE STP 版 
本 的 所 有 设备 上 ， 默 认 优先 级 都 为 32768。 优 先 级 相同 ，MAC 地 址 最 小 的 将 被 选举 为 根 桥 。 

默认 每 隔 2 秒 钟 发送 一 次 BPDU, 它 被 发 送 到 网 桥 /交换 机 的 所 有 活动 端口 上 ,通过 BPDU 
选举 根 桥 。 在 本 例 中 ， 交 换 机 A 和 交换 机 B 优先 级 相同 ， 交 换 机 B 的 MAC 地 址 为 
0c0011111111， 比 交换 机 A 的 MAC 地 址 0c0022222222 小 ， 交 换 机 B 就 更 加 有 可 能 成 为 根 
桥 。 你 可 以 更 改 交换 机 的 优先 级 ， 来 指定 成 为 根 桥 的 首选 和 备用 交换 机 。 在 本 示例 中 很 显然 
让 交换 机 A 和 交换 机 B 成 为 首选 和 备用 根 交换 机 最 好 ， 因 为 这 两 个 交换 机 为 汇聚 层 交 换 机 。 

本 示例 假设 交换 机 B 是 所 有 交换 机 中 MAC 地 址 最 小 的 ， 选 举 为 根 网 桥 。 

2. 选举 根 端口 

确定 了 根 网 桥 后 ， 交 换 机 A、C、D、E 和 下 为 非 根 桥 ， 这 些 交换 机 需要 查看 哪些 端口 
到 根 交 换 机 距离 近 ， 带 宽 越 高 距离 就 越 近 。 对 于 C 交换 机 来 说 到 达 根 网 桥 最 近 的 端口 是 E0。 
因此 E0 接口 就 被 选举 为 根 端口 。 根 端口 转发 数据 帧 。 

3. 选举 指定 端口 

直 白 一 点 来 说 ， 就 是 每 根 网 线 ， 都 要 比较 看 哪 一 端 距离 根 桥 近 。 距 离 根 桥 近 的 那 一 端 连 
接 的 端口 为 指定 端口 。 由 于 A 和 B 交换 机 之 间 的 连接 带宽 为 1000M， 因 此 A 交换 机 的 El、 
E2、E3 和 E4 端口 比 交 换 机 C、D、E 和 下 的 El 端口 距离 根 桥 近 ， 因 此 A 交换 机 的 E1、E2、 
E3 和 E4 端口 成 为 指定 端口 。 根 桥 的 所 有 端口 都 是 指定 端口 。 指 定 端口 转发 数据 帧 。 

4. 非 指定 端口 

确定 了 根 端口 和 指定 端口 , 剩 下 的 端口 就 是 非 指定 端口 , 非 指定 端口 将 被 置 为 阻塞 状态 ， 
不 是 转发 端口 。 本 示例 交换 机 C、D、E 和 下 的 El 接口 就 是 非 指定 端口 。 虽 然 不 能 转发 帧 ， 
但 仍然 可 以 接收 帧 ， 包 括 BPDU。 


RP -- 根 端口 
DP -- 指 定 端口 
NP -- 非 指定 端口 


入 站 


第 7 章 
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网 络 中 如 果 有 集线器 设备 ， 则 集线器 设备 不 参与 生成 树 。 


7.2.4 生成 树 的 端口 状态 
对 于 运行 STP 的 网 桥 或 交换 机 来 说 ， 其 端口 状态 会 在 下 列 5 种 状态 之 间 转 变 。 
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阻塞 (Blocking) : 被 阻塞 的 端口 将 不 能 转发 帧 ， 它 只 监听 BPDU。 设 置 阻塞 状 
态 的 意图 是 防止 使 用 有 环 路 的 路 径 。 当 交换 机 加 电 时 ， 默 认 情况 下 所 有 的 端口 都 
处 于 阻塞 状态 。 

侦 听 〈Listening) : 端口 都 侦 听 BPDU， 以 确信 在 传送 数据 帧 之 前 ， 在 网 络 上 没有 
环 路 产生 。 侦 听 状 态 的 端口 ， 在 没有 形成 MAC 地 址 表 时 ， 就 准备 转发 数据 帧 。 
学 习 (Learning) : 交换 机 端口 侦 听 BPDU， 并 学 习 交 换 式 网 络 中 的 所 有 路 径 。 处 
在 学 习 状态 的 端口 形成 MAC 地 址 表 ， 但 不 能 转发 数据 帧 。 转 发 延迟 意味 着 将 端口 
从 侦 听 状态 转换 到 学 习 状 态 所 花费 的 时 间 ， 默 认 设置 为 15 秒 ， 可 以 用 命令 
showspanning-tree 显示 出 来 。 

转发 (Forwarding) : 在 桥接 的 端口 上 ， 处 在 转发 状态 的 端口 发 送 并 接收 所 有 的 数据 
帧 。 如 果 在 学 习 状态 结束 时 ， 端 口 仍 然 是 指定 端口 或 根 端口 ， 它 就 进入 转发 状态 。 
禁用 (Disabied: 从 管理 上 讲 , 处 于 禁用 状态 的 端口 不 能 参与 帧 的 转发 或 形成 STP。 
处 于 禁用 状态 下 ， 端 口 实质 上 是 不 工作 的 。 


只 有 在 学 习 状 态 或 转发 状态 下 ， 交 换 机 才能 填写 MAC 地 址 表 。 


大 多 数 情况 下 ,交换 机 端口 都 处 在 阻塞 或 转发 状态 。 转 发 端口 是 指 到 根 桥 的 开销 最 低 的 
端口 ， 但 如 果 网 络 的 拓扑 改变 〈 可 能 是 链 路 失效 了 ， 或 者 有 人 添加 了 一 台新 的 交换 机 )， 交 
换 机 上 的 端口 就 会 处 于 侦 听 或 学 习 状态 。 

正如 前 面 提 到 的 , 阻塞 端口 是 一 种 防止 网 络 环 路 的 策略 。 一 旦 交换 机 决定 了 到 根 桥 的 最 
佳 路 径 ， 那么 所 有 其 他 的 端口 将 处 于 阻塞 状态 。 被 阻塞 的 端口 仍然 能 接收 BPDU， 它 们 只 是 
不 能 发 送 任何 帧 。 
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换 机 ， 


你 需要 确认 网 络 中 的 根 桥 。 需 要 指定 SwitchA 作 
为 首选 根 网 桥 ，SwitchB 作为 备用 根 桥 。 这 就 需要 更 
改 网 桥 优先 级 。 

操作 步骤 如 下 。 


确认 和 更 改 根 桥 


打开 随 书 光盘 中 第 7 章 练习 “02 确认 和 更 改 根 
网 桥 .pkt”， 可 以 看 到 网 络 拓扑 如 图 7-9 所 示 ， 双 汇聚 
层 设计 ，SwitchA 连接 SwitchC、SwitchD 和 SwitchE 
的 端口 ， 处 于 阻 断 状 态 ， 可 以 断定 SwitchA 不 是 根 交 


因 


为 根 交 换 机 的 所 有 端口 肯定 是 转发 状态 。 


全 图 7-9 网 络 拓扑 


(1) 在 SwitchA 上 ， 查 看 VLAN 1 的 生成 树 ， 查 看 根 网 桥 。 

Switch>en 一 -进入 特权 模式 

Switch#show spanning-tree vlan 1 一 查看 VLAN 1 的 生成 树 ， 默 认 所 有 接口 都 在 VLAN1 
VLRAN0001 


Spanning tree enabled protocol ieee 


Root ID Priority 32769 一 -这 是 根 桥 的 优先 级 
Address 0002.4A63.C9B6 “-- 这 是 根 桥 的 MAc 地 址 
Cost 4 
Port 6 (GigabitEthernet5/1)  -- 使 用 G5/1 这 个 接口 和 根 桥 连 接 


Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 
Bridge ID Priority 32769 (priority 32768 sys-id-ext 1) 
-- 这 是 SwitchA 的 优先 级 
Rddress 00E0.F780.208C -- 这 是 SwitchR 的 MAC 地 址 
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 
Aging Time 20 


Interface Role Sts Cost Prio.Nbr Type 

Gi5/1 Root FWD 4 128.6 P2P --EWD 代表 转发 状态 
Gi6/1 Altn BLK 4 128.7  P2P --BLK 代表 阻 断 状态 
Gi7/1 Altn BLK 4 128.8  P2P 

Gi8/1 Altn BLK 4 128.9  P2P 


可 以 断定 SwitchA 不 是 根 桥 ， 因 为 Root ID 和 Bridge ID 不 同 ， 网 桥 ID 是 由 优先 级 和 
MAC 地 址 构成 的 。 
(2) 更 改 SwitchA 的 生成 树 优先 级 ， 使 其 成 为 首选 根 桥 。 
Switch#config 七 ”-- 进 入 全 局 配置 模式 
Switch (config) #spanning-tree vlan 1 priority ? ” -- 更 改 VLAN1 的 生成 树 优先 级 
<0-61440> bridge priority in increments of 4096 
一 -可 以 看 到 优先 级 值 的 范围 
Switch (config) #spanning-tree vlan 1 priority 23  -- 随 便 输入 一 个 值 
ss Bridge Priority must be in increments of 4096. 
一 -提示 网 桥 优先 级 值 增 量 为 4096 
% Allowed values are: 一 显示 所 有 可 用 的 网 桥 优先 级 值 
0 4096 8192 12288 16384 20480 24576 28672 
32768 36864 40960 45056 49152 53248 57344 61440 
Switch (config) #spanning-tree vlan 1 priority 4096 
一 -将 网 桥 优先 级 的 值 更 改 为 4096 
(3) 注意 观察 网 络 中 的 阻 断 端 口 发 生变 化 。 
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(4) 在 SwitchA 上 运行 以 下 命令 ， 查 看 新 选举 的 根 网 桥 。 
Switch#show spanning-tree vlan 1 
VLANO001 
Spanning tree enabled protocol ieee 
Root ID Priority 4097 一 - 根 网 桥 优 先 级 
Rddress 00E0.F780.208C -- 根 网 桥 MAC 地 址 
This bridge is the root 
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 
Bridge ID Priority “4097 (priority 4096 sys-id-ext 1) -- 网 桥 优先 级 
Address O00E0.F780.208C 一 -网 桥 MAC 地 址 
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 


Aging Time 20 


Interface Role Sts Cost Prio.Nbr Type 

Gi5/1 Desg FWD 4 128.6  P2P 一 -转发 状态 
Gi6/1 Desg FWD 4 128.7 P2P -- 转 发 状态 
ET Desg FWD 4 128.8 P2P -- 转 发 状态 
eile Desg FWD 4 128.9 P2P -- 转 发 状态 


可 以 看 到 更 改 网 桥 的 优先 级 后 ，Root ID 和 Bridge ID 都 是 SwitchA 了 ， 这 说 明 SwitchA 
是 根 桥 ， 并 且 所 有 的 端口 都 处 于 转发 状态 。 
(5) 在 SwitchB 上 运行 以 下 命令 ， 更 改 其 网 桥 优 先 级 ， 将 其 设置 为 备用 根 网 桥 。 


Switch (config) #spanning-tree vlan 1 priority 12288 


7.2.6 关闭 VLAN 1 的 生成 树 
如 果 你 确信 网 络 中 的 交换 机 没有 环 路 ， 并 且 将 来 也 不 会 产生 环 路 ， 可 以 使 用 以 下 命令 将 
VLAN 1 的 生成 树 关 闭 。 


Switch (config) #no spanning-tree vlan 1 


而 交换 机 端口 安全 


通常 我 们 不 愿意 外 单位 的 人 随便 将 自己 的 笔记 本 电脑 接 入 公司 的 网 络 。 比 如 河北 师 大 软 
件 学 院 的 教室 为 本 学 院 学 生 提供 了 免费 网 络 接 入 以 便 学 生 能 随时 访问 Internet 查询 资料 和 学 
院内 网 提交 作业 。 突 然 有 一 天 ， 发 现 自习 时 间 ， 教室 里 有 其 他 学 院 的 学 生 接 入 笔记 本 电脑 上 
网 聊天 、 玩 游戏 。 如 何 避 免 其 他 学 院 的 学 生 使 用 软件 学 院 的 网 络 ? 这 就 需要 设置 交换 机 的 端 
口 和 计算 机 进行 绑 定 ， 实 现 交换 机 端口 的 安全 。 
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7.3.1 端口 和 MAC 地 址 绑 定 


前 面 讲 过 计算 机 的 网 卡 有 MAC， 且 全 球 唯 
一 。 要 设置 交换 机 的 端口 和 计算 机 进行 绑 定 ， 你 
只 需要 设置 交换 机 的 端口 和 计算 机 的 MAC 地 址 
进行 绑 定 即 可 。 

打开 随 书 光盘 中 第 7 章 练习 “03 交换 机 端 
口 和 计算 机 绑 定 .pkt”， 网 络 拓扑 如 图 7-10 所 示 ， 


计算 机 和 DHCP 服务 器 的 耳 地址 已 经 配置 完成 。 192. 168.0.0124 
你 需要 设置 交换 机 的 端口 和 现在 的 计算 机 的 A 图 7-10 网 络 拓扑 
MAC 地 址 进行 绑 定 。 


(1) 使 用 PC0 ping PC1、PC2 和 DHCP， 这 样 交 换 机 就 能 构造 MAC 地 址 表 。 
(2) 查看 交换 机 的 MAC 地 址 表 。 
Switch#show mac-address-table 


Mac Address Table 


Vlan Mac Address Type Ports 
1 0000.0c7c.7e49 DYNAMIC Fa0/4 ”--DYNAMIC 表示 是 动态 学 习 到 的 
1 0001.63c6.e338 DYNAMIC Fa0/2 
zl 0090.0cd7.65c8 DYNAMIC Fa0/1 
00d0.ffce.0eb4 DYNAMIC Fa0/3 


(3) 将 上 面 显示 的 MAC 地 址 和 交换 机 端口 进行 绑 定 。 
Switch#config t  -- 进 入 全 局 配置 模式 
Switch (config) #interface range fastEthernet 0/1 一 4 
-- 这 种 方式 可 以 配置 接口 1 一 4 
Switch (config-if-range) #switchport mode access 
=-- 将 交换 机 端口 设置 为 access， 明 确 该 端口 连接 的 是 计算 机 
Switch (config-if-range) #switchport Port-security 
一 -在 交换 机 端口 启用 安全 
Switch (config-if-range) #switchport port-security violation shutdown 
一 -违反 安全 规则 后 禁用 
Switch (config-if-range) #switchport port-security mac-address sticky 
一 -将 上 面 的 动态 的 MAC 地 址 和 端口 进行 绑 定 
以 上 命令 必须 依次 执行 ， 顺 序 颠 倒 会 出 现 错误 。 
(4) 再 次 查看 MAC 地 址 表 。 
Switch#show mac-address-table。 


Mac Address Table 
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Vlan Mac Address Type Ports 
1 0000.0c7c.7e49 SsTATIC Fa0/4 一 -可 以 看 到 类 型 变 为 STATIC 
1 0001.63c6.e338 STATIC Fa0/2 一 -可 以 看 到 类 型 变 为 STATIC 
1 0090.0cd7.65c8 STATIC Fa0/1 一 -可 以 看 到 类 型 变 为 STATIC 
1 00d0.ffce.0eb4 STATIC Fa0/3 一 -可 以 看 到 类 型 变 为 STATIC 


可 以 看 到 FastEthernet 0/1 一 4 对 应 的 MAC 地 址 为 STATIC, 不 会 过 期 , 且 不 再 动态 学 习 。 
如 果 MAC 地 址 表 为 空 ， 请 重复 步 又， 因为 DYNAMIC 的 条 目 过 一 段 时 间 就 删除 了 。 
(5) 查看 配置 。 

Switch#show running-config 

interface FastEthernet0/1 

switchport mode access 

switchport port-security 

switchport port-security mac-address sticky 

switchport port-security mac-address sticky 0090.0CD7.65C8 
你 能 看 到 Interface FastEthernet 0/1 一 4 的 端口 安全 设置 。 
(6) 保存 配置 。 

Switch#copy running-config startup-config 


一 -将 以 上 配置 保存 ， 交 换 机 重启 ， 端 口 安全 设置 依旧 在 。 


(7) 验证 违反 后 端口 被 自动 禁用 。 = + i] 

如 图 7-11 所 示 ， 更 改 PC1 网 卡 的 MAC | 9 ee - 
地 址 ， 将 0001.63C6.E338 更 改 为 
0001.63C6.E339, 你 会 立即 发 现 交换 机 上 连接 | i 
PC1 的 端口 变 红 ,说明 该 接口 已 经 被 禁用 。 使 cade 


用 PCO0 ping PC1 的 他 地 址 ， 不 通 。 Ee 
如 果 你 不 嫌 麻 烦 , 可 以 一 个 一 个 地 对 每 一 
个 交换 机 端口 进行 和 MAC 地 址 的 绑 定 。 


192.168.0.11 


Subnet Mask 255.255.255.0 


Ipvé Configuration 
Link tocal Address: 


全 图 7-11 更 改 MAC 地址 
Switch (config) #interface fastEthernet 0/2 

Switch (config-if) #switchport mode access 

Switch (config-if) #switchport port-security 

Switch (config-if) #switchport port-security violation shutdown 


Switch (config-if) #switchport port-security mac-address 0001.63C6.E338 


以 下 命令 关闭 交换 机 端口 安全 设置 (在 Packet Tracer 软件 模拟 的 交换 机 上 ， 需 要 关闭 
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Packet Tracer， 保 存 ， 再 次 打开 ， 设 置 生效 )。 


Switch (config-if) #no switchport port-security 


7.3.2 ”控制 端口 连接 计算 机 的 数量 


在 交换 机 的 端口 上 还 
可 以 设置 某 个 端口 能 够 连 
接 的 计算 机 数量 。 打 开 随 
书 光盘 中 第 7 章 练习 “04 
控制 端口 连接 计算 机 的 数 
量 pkt”， 网 络 拓扑 如 图 
7-12 所 示 ， 河 北 师 大 软件 
学 院 网 络 教研 室 通过 交换 
机 Switchl 和 学 院 机 房 的 
交换 机 Switch0 的 Fa0/4 
相连 。 网 络 教研 室 目 前 只 人 
有 两 台 计 算 机 ， 学 院 的 IT 管理 员 不 希望 网 络 教研 室 随便 在 Switchl 上 连接 更 多 的 计算 机 。 
可 以 设置 Switch0 的 Fa0/4 接口 的 安全 来 实现 。 

(1) 在 交换 机 Switch0 上 的 设置 ， 配置 端 口 安全 。 


Switch>en 


192. 168.0.0/24 


Switch#config t 

Switch (config) #interface fastEthernet 0/4 

Switch (config-if) #switchport mode access 

Switch (config-if) #switchport port-security 

Switch (config-if) #switchport port-security violation shutdown 

Switch (config-if) #switchport port-security maximum 2 

(2) 你 可 以 将 PC2 的 网 线 连接 到 Switch1， 然 后 使 用 PC3 ping PC0、PC1 和 PC2。 可 以 
看 到 Switch0 的 F0/4 端口 关闭 。 


rE VLAN 


交换 机 虽然 比 网 桥 和 集线器 的 性 能 高 ， 并 且 独 享 端口 带宽 ， 每 一 个 端口 是 一 个 冲突 域 ， 
但 是 使 用 交换 机 组 建 的 网 络 在 同一 网 段 中 的 计算 机 数量 却 不 能 太 多 ， 为 什么 呢 ? 

前 面 讲 过 交换 机 隔绝 冲突 域 ， 但 是 如 果 网 络 中 的 计算 机 发 送 广播 帧 ， 即 目标 MAC 地 址 
为 FFFFFFFFFFFFFFFF 的 交换 机 将 这 类 帧 发 送 到 所 有 端口 。 同 一 网 段 内 计算 机 数量 增多 ， 
发 送 广播 的 帧 也 就 增多 ， 将 会 消耗 更 多 的 带宽 。 如 果 某 个 计算 机 中 了 ARP 病毒 仍 在 网 上 大 
量 发 送 广播 ， 将 会 造成 网 络 堵塞 ;或 者 有 MAC 地 址 欺骗 的 病毒 ， 将 会 影响 同一 网 段 内 所 有 
计算 机 的 网 络 互联 。 
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出 于 安全 考虑 ， 公 司 的 网 络 规划 有 可 能 将 同一 个 部 门 的 计算 机 放置 到 一 个 网 段 ， 或 安全 
性 要 求 一 致 的 计算 机 放置 到 一 个 网 段 ， 而 不 是 按照 计算 机 的 物理 位 置 划分 网 段 。 比 如 ， 将 能 
够 访问 Intemet 的 计算 机 放置 到 一 个 网 段 ， 然 后 在 防火 墙 上 进行 配置 ， 只 允许 该 网 段 能 够 访 
问 Intemet。 

基于 以 上 原因 ， 我 们 可 以 使 用 交换 机 按 部 门 灵活 地 划分 网 段 ， 而 不 用 考虑 物理 位 置 ， 这 
就 是 下 面 要 讲解 的 VLAN 技术 。 


7.4.1 什么 是 VLAN 


VLAN (Virtual Local Area Network， 虚 拟 局 域 网 ) 技术 的 出 现 ， 主 要 是 为 了 解决 交换 机 
在 进行 局 域 网 互 连 时 无 法 限制 广播 的 问题 。 这 种 技术 可 以 把 一 个 LAN 划分 成 多 个 逻辑 的 
LAN 一 一 VLAN， 每 个 VLAN 是 一 个 广播 域 ，VLAN 内 的 主机 间 通 信 就 和 在 一 个 LAN 内 一 
样 ， 而 VLAN 间 则 不 能 直接 互通 ， 因 此 ， 广 播报 文 被 限制 在 一 个 VLAN 内 。VLAN 是 一 种 
将 局 域 网 设备 从 逻辑 上 划分 成 一 个 个 网 段 而 不 用 考虑 同一 个 LAN 是 否 在 同一 个 交换 机 上 。 

如 图 7-13 所 示 ， 公 司 的 办 公 大 楼 在 第 一 层 、 第 二 层 和 第 三 层 放 置 了 交换 机 ， 这 三 个 交 
换 机 为 接 入 层 交 换 机 ， 通 过 汇聚 层 交 换 
机 连接 。 公 司 的 销售 部 、 研 发 部 和 财务 
部 的 计算 机 在 每 一 层 都 有 。 从 安全 和 控 
制 网 络 广播 方面 考虑 ， 可 以 为 每 一 个 部 
门 创建 一 个 VLAN。 在 交换 机 上 不 同 的 
VLAN 使 用 数字 标识 ， 你 可 以 将 销售 阐 
的 计算 机 指定 到 VLAN 1， 为 研发 部 创 
建 VLAN 2， 为 财务 部 创建 VLAN 3。 


一 个 VLAN 就 是 一 个 广播 域 , 同一 “上 Ne ke 

个 VLAN 中 的 计算 机 P 地 址 在 同一 个 

网 段 。 一 个 VLAN= 一 个 广播 域 -一 个 网 段子 网 ) 
1. VLAN 的 优点 AA 图 7-13 VLAN 示 意图 


"广播 风暴 防范 

限制 网 络 上 的 广播 ， 将 网 络 划 分 为 多 个 VLAN 可 减少 参与 广播 风暴 的 设备 数量 。LAN 
分 段 可 以 防止 广播 风暴 波及 整个 网 络 。VLAN 可 以 提供 建立 防火 墙 的 机 制 , 防止 交换 网 
络 的 过 量 广播 。 使 用 VLAN， 可 以 将 某 个 交换 端口 或 用 户 赋 于 某 一 个 特定 的 VLAN 组 ， 
该 VLAN 组 可 以 在 一 个 交换 网 中 或 跨 接 多 个 交换 机 ， 在 一 个 VLAN 中 的 广播 不 会 送 到 
VLAN 之 外 。 同 样 ， 相 邻 的 端口 不 会 收 到 其 他 VLAN 产生 的 广播 ， 这 样 可 以 减少 广播 
流量 ， 释 放 带 宽 给 用 户 应 用 ， 减 少 广 播 的 产生 。 

" ”安全 

增强 局 域 网 的 安全 性 ,含有 敏感 数据 的 用 户 组 可 与 网 络 的 其 余部 分 隔离 ， 从 而 降低 泄露 
机 密 信息 的 可 能 性 。 不 同 VLAN 内 的 报 文 在 传输 时 是 相互 隔离 的 ， 即 一 个 VLAN 内 的 
用 户 不 能 和 其 他 VLAN 内 的 用 户 直 接 通信 。 如 果 不 同 VLAN 间 要 进行 通信 ， 则 需要 通 
过 路 由 器 或 三 层 交 换 机 等 三 层 设备 。 


2. 创建 VLAN 的 条 件 


VLAN 是 建立 在 物理 网 络 基础 上 的 一 种 逻辑 子 网 ， 因 此 建立 VLAN 需要 相应 的 支持 
VLAN 技术 的 网 络 设备 。 当 网 络 中 的 不 同 VLAN 间 进 行 相互 通信 时 ， 需 要 路 由 的 支持 ， 这 
时 就 需要 增加 路 由 设备 一 一 要 实现 路 由 功能 , 既 可 采用 路 由 器 , 也 可 采用 三 层 交 换 机 来 完成 。 


7.4.2 ”创建 和 管理 VLAN 


打开 随 书 光盘 中 第 7 章 练 
习 “05 创建 和 管理 VLAN.pkt”， 
网 络 拓 扑 如 图 7-14 所 示 ， 网 络 
中 的 计算 机 已 经 配置 好 了 卫 地 
址 , 交换 机 的 所 有 接口 默认 都 属 
于 VLAN 1。PC0 和 PC1 分 别 连 
接 到 交换 机 的 Fa0/1 和 Fa0/2 接 
口 ,PC3 和 PC4 分 别 连接 在 交换 
机 的 Fa0/13 和 Fa0/14。 


本 实验 将 会 查看 交换 机 上 
的 VLAN， 端 口 所 属 的 VLAN,， 192. 168.0. 0/24 
创建 VLAN 2， 将 13-24 端口 指 图 7-14 创建 和 管理 VLAN 


定 到 VLAN 2, 然后 测试 PCO 和 

PC1 和 PC2 是 否 能 通信 。 删 除 VLAN2， 查 看 属于 VLAN 2 的 端口 。 
操作 步骤 如 下 。 
(1) 查看 交换 机 的 VLAN， 如 图 7-15 所 示 。 


Switch#show vlan 


VLAN Name FO/1~12 ports F0/13~24 

1 default active Fa0/1l, Fauv/e, sau/J, Fa0/4 
Fa0/5, Fa0/6, Fa0/7, Fa0/8 
Fa0/9, Fa0/10, Fa0/11l, Fa0/12 
Fa0/13, Fa0/14, Fa0/1i5, Fa0/16 
Fa0/17, Fa0/18, Fa0/19, Fa0/20 
Fa0/21, Fa0/22, Fa0/23, Fa0/24 
Gig1/1, Gig1/2 


1002 fddi-default act/unsup 
1003 token-ring-default act/unsup 
1004 fddinet-default act/unsup 
1005 trnet-default act/unsup 


全 图 7-15 显示 VLAN 
在 交换 机 上 运行 show vlan, 可 以 看 到 所 有 的 接口 都 在 VLAN 1, VLAN 1 是 默认 VLAN， 
不 能 删除 ， 也 不 需要 创建 。 
(2) 使 用 PC0 ping PC1、PC2 和 PC3， 将 发 现 都 能 通 ， 在 同一 个 VLAN 的 计算 机 下 地 
址 在 一 个 网 段 就 能 通信 。 
(3) 创建 VLAN 2， 将 Fa0/13 一 24 端口 指定 到 VLAN 2。 


Switch>en 
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Switch#config 七 
Switch (config) #vlan 2 -- 创 建 VLAN 2， 就 这 么 简单 ， 删 除 VLAN 2 只 需 no vlan 2 
Switch (config-vlan) #exit 
Switch (config) #interface range fastEthernet 0/13-24 
Switch (config-if-range) #switchport mode access 
--access 指定 这 些 接口 为 访问 接口 
Switch (config-if-range) #switchport access vlan 2 
一 -将 这 些 接口 指定 到 VLAN 2 
后 面 会 为 大 家 介绍 什么 是 访问 接口 和 干道 接口 。 
(4) 查看 VLAN， 如 图 7-16 所 示 。 


Switch#show vlan 


1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4 
Fa0/5, Fa0/6, Fa0/7, Fa0/8 
Fa0/9, Fa0/10, Fa0/11, Fa0/12 
Gig1/1, Gig1i/2 

2 VLAN0002 active Fa0/13, Fa0/14, Fa0/15, Fa0/16 
Fa0/17, Fa0/1i8, Fa0/19, Fa0/20 
Fa0/21, Fa0/22, Fa0/23, Fa0/24 


1002 fddi-default act/unsup 
1003 token-ring-default act/unsup 
1004 fddinet-default act/unsup 
1005 trnet-default act/unsup 


全 图 7-16 查看 VLAN 
可 以 看 到 创建 的 VLAN 2， 以 及 VLAN 2 的 接口 。 
(5) 现 在 使 用 PC0 ping PC1、PC2 和 PC3, 发 现 只 能 ping 通 PC1。 PC2 能 够 ping 通 PC3。 
即 在 同一 个 VLAN 的 计算 机 才能 通 。VLAN 实现 的 是 数据 链 路 层 安全 。 


如 图 7-17 所 示 ， 将 一 个 交换 机 划分 了 两 个 VLAN， 你 可 以 想象 成 将 交换 机 逻辑 
上 分 成 了 两 个 交换 机 。 这 两 个 不 同 的 VLAN 之 间 通 信 必 须 通过 路 由 器 转发 ， 同 
时 这 两 个 VLAN 的 人 地 址 必须 在 不 同 的 网 段 。 


划分 VLAN 后 的 等 价 图 
VLAN 间 通信 必须 过 路 由 


Router 


各 局 
/ \ 
~ 192.168.1.0/24 / Ne 192.168. 2.0/24 


We 
全 图 7-17 需要 路 由 器 实现 VLAN 间 路 由 
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(6) 删除 VLAN 2。 

Switch (config) #no vlan 2 一 -删除 VLAN 2 

(7) 查看 VLAN。 

Switch#show vlan 

可 以 看 到 ， 删 除 VLAN 2 后 ，VLAN 2 的 端口 不 属于 任何 VLAN， 这 些 端口 被 禁用 ， 你 
需要 明确 指定 这 些 端 口 所 属 的 VLAN， 这 些 端口 才 会 被 启用 。 


7.4.3 ” 跨 交 换 机 的 VLAN 


以 上 讲 的 是 将 一 个 交 
换 机 划分 为 两 个 VLAN。 如 
图 7-18 所 示 , 某 公司 有 两 个 
部 门 ， 财 务 部 和 销售 部 ， 分 
别 接 在 两 个 交换 机 SwitchA 
和 SwitchB 上 。 如 果 将 财务 
部 的 计算 机 规划 到 VLAN 
1, 将 销售 部 的 计算 机 规划 到 
VLAN2， 如 何 实现 呢 ? 
在 两 个 交换 机 上 分 别 
创建 VLAN2， 将 连接 销售 
部 计算 机 的 端口 指定 到 
VLAN2。 将 连接 财务 部 计算 A 图 7-18 跨 交换 机 的 VLAN 
机 的 端口 指定 到 VLAN1 。 
为 了 确保 两 个 交换 机 上 的 VLAN1 能 够 直接 通信 ， 可 以 使 用 一 根 网 线 将 两 个 交换 机 属于 
VLANI1 的 端口 连接 , 使 用 另 一 根 网 线 将 两 个 交换 机 属于 VLAN2 的 端口 连接 。 这样, VLAN1 
的 计算 机 A、B、C、D 就 属于 同一 个 逻辑 网 段 了 ， 销 售 部 的 计算 机 E、F、G、H 就 属于 另 
一 个 逻辑 网 段 了 。 
按照 上 面 的 方法 , 如 果 有 10 个 VLAN 跨 这 两 个 交换 机 , 每 一 个 VLAN 使 用 一 根 网 线 连 
接 两 个 交换 机 ， 就 太 浪费 交换 机 端口 和 网 线 了 。 有 没有 更 好 的 方法 昵 ? 有 ! 那 就 是 使 用 干道 
链 路 。 下 面 将 介绍 什么 是 干道 链 路 。 
交换 机 的 端口 有 以 下 两 种 类 型 。 
= 访问 端口 : 访问 端口 只 能 属于 某 一 个 VLAN， 它 只 能 承载 某 一 个 VLAN 的 流量 。 连 
接 访问 端口 的 链 路 称 为 访问 链 路 。 

"中 继 端 口 : 中 继 端 口 能 够 同时 承载 多 个 VLAN 的 流量 ， 连 接 中 继 端 口 的 链 路 称 为 
干道 链 路 。 数 据 帧 进入 干道 链 路 时 需要 添加 帧 标记 (或 称 VLAN ID) ， 离 开 干道 
链 路 时 去 掉 帧 标记 ， 这 个 过 程 对 计算 机 来 说 是 透明 的 。 

现在 介绍 数据 帧 通过 干道 链 路 添加 帧 标记 的 意义 : 通过 干道 的 数据 帧 用 来 标明 该 帧 来 自 
哪个 VLAN。 

如 图 7-19 所 示 , 计算 机 A 发 送 一 个 广播 帧 ，SwitchA 知道 计算 机 A 属于 VLAN1, 就 将 
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该 广播 发 送 到 VLAN1 的 所 有 


端口 。 这 个 广播 帧 还 会 通过 二 ws | wy 


道 链 路 发 送 到 SwitchB ， 
SwitchB 需要 将 该 广播 帧 发 送 
到 SwitchB 的 VLANI1 的 所 有 
端口 。 问 题 是 SwitchB 如 何 知 
道 该 广播 帧 来 自 哪 个 
VLAN? 这 就 需要 SwitchA 将 
来 自 VLAN1 的 数据 帧 添加 一 
个 帧 标记 标明 其 所 属 的 
VLAN， 当 SwitchB 接收 后 就 
知道 应 该 将 该 帧 广播 到 哪个 
VLAN。 这 个 数据 帧 只 要 离开 
干道 链 路 就 去 掉 帧 标记 。 在 访问 链 路 上 是 没有 帧 标记 的 。 

为 了 说 明 方 便 给 大 家 举例 广播 帧 通过 干道 链 路 添加 帧 标记 , 其 实 非 广播 帧 通过 干道 链 路 
同样 可 以 添加 帧 标记 。 

这 样 不 管 有 多 少 个 VLAN 跨 这 两 个 
交换 机 ， 只 需 一 条 干道 链 路 即 可 。 

如 图 7-20 所 示 ， 接 入 层 交 换 机 
SwitchA、 SwitchB、SwitchC、SwitchD 
于 汇聚 层 交换 机 SwitchE 处 连接 。 市 场 
部 计算 机 都 连接 到 SwitchA, 属 于 VLAN 
4。 销售 部 和 研发 部 以 及 财务 部 的 计算 机 
分 别 属于 VLAN1、VLAN2 和 VLAN3， 
这 三 个 VLAN 跨 SwitchB、SwitchC 和 
SwitchD 三 个 交换 机 ， 需 要 将 哪些 链 路 
配置 成 为 干道 链 路 呢 ? 

传递 多 个 VLAN 数据 的 链 路 需要 配 
置 成 干道 链 路 , 因此 SwitchB、SwitchC、 
SwitchD 与 SwitchE 连接 的 链 路 需要 配 全 图 7-20 需要 配置 为 干道 的 链 路 
置 为 干道 ， 而 SwitchA 上 连接 的 是 同一 
个 VLAN 的 计算 机 ， 因 此 SwitchA 与 SwitchE 之 间 的 连接 可 以 使 用 访问 链 路 连接 。 


全 图 7-19 通过 干道 链 路 连接 多 个 VLAN 


交换 机 组 建 的 网 络 中 ， 如 果 需 要 多 个 VLAN 通过 的 链 路 则 需要 配置 为 干道 链 


在 
路 。 如 果 链 路 上 只 需要 单一 VLAN 的 数据 通过 则 可 以 配置 为 访问 链 路 。 


7.4.4 配置 干道 链 路 
打开 随 书 光盘 中 第 7 章 练习 “06 配置 干道 链 路 .pkt”， 如 图 7-21 所 示 ， 网 络 中 的 交换 机 


Switch1、Switch2 是 接 入 层 交 
换 机 ，Switch0 是 汇聚 层 交 换 
机 。VLAN1 和 VLAN2 跨 三 个 
交换 机 。 
现在 你 需要 在 Switch1、 

Switch2 、 Switch0 上 创建 
VLAN2， 前 两 个 交换 机 将 
Fa0/13 一 24 端口 指定 到 
VLAN2。 将 连接 汇聚 层 交 换 机 
的 端口 指定 为 干道 链 路 。 验 证 
VLANI1 的 两 个 计算 机 PC0 和 
PC2 能 够 通信 ，VLAN2 的 两 
个 计算 机 PC1 和 PC3 能 够 相 


~ io/l 


ps 


2 Switcho 


4 
一 一 干道 链 路 


互通 信 。 加 
操作 步骤 如 下 。 
(1) 在 Switchl 和 Switch2 上 ， 创 建 VLAN 2， 配 置 干道 端口 。 
Switch>en 


Switch#config 七 

Switch (config) #vlan 2 -- 创 建 VLAN2 

Switch (config-vlan) #ex 

Switch (config) #interface range fastEthernet 0/13 - 24 -- 进 入 接口 配置 模式 
一 -将 接口 设置 为 访问 接口 
一 -将 接口 指定 到 VLAN2 


Switch (config-if-range) #switchport mode access 

Switch (config-if-range) #switchport access vlan 2 

Switch (config-if-range) #ex 

Switch (config) #interface gigabitEthernet 1/1 

Switch (config-if) #switchport mode ? 
access Set trunking mode to ACCESS unconditionally 
dynamic Set trunking mode to dynamically negotiate access or trunk mode 
trunk Set trunking mode to TRUNK unconditionally 

Switch (config-if) #switchport mode trunk 一 -将 接口 指定 为 干道 接口 

(2) 在 Switch0 上 ,创建 VLAN 2， 配 置 干道 链 路 。 

Switch>en 

Switch#config 七 

Switch (config) #vlan 2 -- 创 建 VLAN2 

Switch (config-vlan) #ex 

Switch (config) #interface range gigabitEthernet 0/1 - 2 -- 进 入 接口 配置 模式 

Switch (config-if-range) #switchport trunk encapsulation dotlqg 


一 -指定 干道 链 路 VLAN 标识 方法 
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Switch (config-if-range) #switchport mode trunk -- 将 接口 指定 为 干道 接口 
(3) 在 PCO 上 ping PC2。 

PC>ping 192.168.0.3 

(4) 在 PC1 上 Ping PC3。 

PC>ping 192.168.1.3 


” 入 有 FastEthernet 和 gigabitEthemet 接口 支持 干道 。 
汪 必须 在 Switch0 上 创建 VLAN2, 虽然 没有 VLAN?2 的 计算 机 直接 连接 到 该 交换 机 。 


在 Switch0 上 将 接口 配置 为 干道 前 ， 必 须 指定 干道 链 路 VLAN 的 标识 方法 。 


7.4.5” 帧 标记 


关于 中 继 端 口 的 另 一 件 事 情 是 , 它们 将 同时 支持 标记 的 和 非 标记 的 流量 (我们 将 在 下 面 
讨论 采用 802.1Q 的 中 继 )。 对 于 所 有 非 标 记 的 流量 将 要 穿越 的 VLAN 中 继 端 口 将 被 分 配 一 
个 默认 的 端口 VLAN ID (PVID)。 这 种 VLAN 也 称 为 本 机 (native) VLAN， 默 认 时 ， 它 始 
终 是 VLAN 1 (但 可 以 改 为 任何 VLAN 号 )。 

类 似 地 ， 任 何 带 NULL (没有 分 配 的 ) VLAN ID 的 标记 或 非 标记 流量 ， 都 假定 属于 有 
端口 默认 PVID 的 VLAN (同样 ， 默认 时 为 VLAN1)。 其 VLAN ID 等 于 外 出 端口 默认 PVID 
的 数据 包 将 作为 非 标记 流量 发 送 ， 且 只 能 与 VLAN1 中 的 主机 或 设备 进行 通信 。 其 他 所 有 的 
VLAN 流量 必须 用 VLAN 标记 发 送 ， 以 便 在 与 此 标记 相对 应 的 特定 VLAN 中 通信 。 

VLAN 的 识别 方法 

VLAN 的 识别 是 指 当 帧 通过 干道 链 路 时 ， 交 换 机 跟踪 帧 所 属 VLAN 的 方式 。 它 指 的 是 
交换 机 怎样 识别 哪 一 个 帧 属于 哪 一 个 VLAN， 下 面 是 一 些 实现 中 继 的 方法 。 

"交换 机 间 链 路 

交换 机 间 链 路 (Inter-Switch Link，ISL) 是 一 种 在 以 太 网 帧 上 显 式 地 标记 VLAN 信息 的 

方法 。 通 过 一 种 外 部 封装 方法 〈ISL)， 这 种 标记 信息 允许 VLAN 在 干道 链 路 上 实现 多 

路 复 用 ， 从 而 允许 交换 机 在 中 继 链 路 上 识别 出 帧 的 VLAN 成 员 关 系 。 

通过 运行 ISL, 可 以 将 多 台 交 换 机 互联 起 来 , 当 流量 在 交换 机 之 间 的 中 继 链 路 上 传送 时 ， 

仍然 维持 VLAN 信息 。ISL 在 第 2 层 起 作用 ， 并 用 新 的 报头 和 循环 兄 余 校 验 (CRC) 对 

数据 帧 进行 封装 。 

要 注意 的 是 , 这 是 Cisco 交换 机 专用 的 方法 , 它 只 用 于 快速 以 太 网 和 吉 比 特 以 太 网 链 路 。 

ISL 路 由 的 用 途 相当 广泛 ， 可 以 用 在 交换 机 端口 、 路 由 器 接口 和 服务 器 接口 卡 上 。 

= IEEE 802.1Q 

IEEE 802.1Q 是 由 IEEE 创建 的 ， 作 为 帧 标记 的 标准 方法 ， 它 实际 上 是 在 帧 中 插入 一 个 

字段 ， 以 标识 VLAN。 如 果 你 正在 Cisco 的 交换 式 链 路 和 不 同 品牌 的 交换 机 之 间 设 置 中 

继 链 路 ， 就 不 得 不 使 用 802.1Q， 以 便 让 中 继 链 路 起 作用 。 

它 的 原理 是 这 样 的 ; 首先 指定 准备 采用 802.1Q 封装 来 实现 中 继 的 每 个 端口 ， 必 须 为 端 

口 分 配 特定 的 VLAN ID， 使 它们 成 为 本 机 VLAN， 以 便 让 它们 通信 。 属 于 同一 个 中 继 

链 路 的 端口 所 创建 的 工作 组 就 成 为 本 机 VLAN， 每 个 端口 用 反映 其 本 机 VLAN 的 标识 


号 作为 标记 ， 默 认 时 为 VLAN1。 本 机 VLAN 允许 中 继 链 路 传送 所 接收 到 的 没有 任何 
VLAN 标识 或 帧 标记 的 信息 。 
2960 系列 只 支持 IEEE 802.1Q 中 继 协议 ， 但 3560 系列 能 支持 ISL 和 IEEE 两 种 方法 。 


7.4.6 VLAN 干道 协议 ( VTP ) 


如 图 7-22 所 示 , Switchl、 
Switch2 通过 干道 和 Switch0 
连接 。 如 果 网 络 中 需要 新 增加 
一 个 VLAN3 ， 你 需要 在 
Switch1、Switch2 以 及 Switch0 
上 创建 VLAN3; 如 果 网 络 中 
需要 将 VLAN 2 删除 ,你 需要 
在 Switchl 、 Switch2 以 及 
Switch0 上 删除 VLAN 2。 有 没 
有 简单 的 方法 管理 VLAN 的 
添加 和 删除 呢 ? 

有 ! 那 就 是 配置 VLAN 干 
道 协议 (VLAN Trmnk 
Protocol，VTP), 使 用 VIP 能 
够 在 干道 链 路 上 通告 VLAN 
添加 或 删除 的 消息 。 需 要 配置 


3! -24PS 
Multfayjer switcho 
| 


2950T-24 
Switch2 


以 下 参数 ,才能 实现 交换 机 间 人 图 7-22 VTP 协议 的 作用 示意 图 
VLAN 信息 共享 。 
Switch (config) #vtp domain todd ”-- 必 须 有 相同 的 VTP 域名 
Switch (config) #vtp password aaa  ”-- 必 须 有 相同 的 密码 ， 为 了 安全 考虑 最 好 设置 密码 
Switch(config)#vtpmode ? -- 可 以 看 到 VTP 模式 有 Client、Server 和 Transparent 
client Set the device to client mode. 
server Set the device to server mode. 


transparent Set the device to transparent mode. 

如 果 将 交换 机 的 VIP 模式 设置 为 Server， 你 能 够 在 该 交换 机 上 添加 、 删 除 VLAN， 这 
些 更 改 将 会 通过 VTP 协议 通告 给 同一 个 VTP 中 的 其 他 交换 机 。 一 个 VTP 域 中 最 少 应 该 有 1 
个 交换 机 作为 Server。 在 VTP 服务 器 模式 下 ，VLAN 的 配置 保存 在 NVRAM 中 。 

如 果 将 交换 机 的 VTP 模式 设置 为 Client， 该 交换 机 从 VTP 服务 器 接收 VLAN 信息 ， 同 
时 也 发 送 和 接收 更 新 。 你 不 能 在 这 些 交 换 机 上 添加 或 删除 VLAN。VLAN 信息 不 存储 在 
NVRAM 中 ， 一 旦 重启 交换 机 ， 就 需要 重新 从 VTP 的 服务 器 上 学 习 VLAN 信息 。 

如 果 将 交换 机 的 VIP 模式 设置 为 Transparent， 能 够 通过 干道 链 路 通告 VIP 信息， 但 不 
会 修改 自己 的 VLAN 信息 。 
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7.4.7 配置 VTP 域 


打开 随 书 光盘 中 第 7 
章 练 习 “07 配置 VIP 
域 .pkt”， 交换 机 间 连 接 已 
经 配置 为 干道 链 路 , 网 络 
拓扑 如 图 7-23 所 示 。 

你 需要 配置 这 三 个 
交换 机 在 同一 个 VIP 域 
“todd”，VTP 密码 为 
“Cisco”。 

Switch0 作为 VTP 的 
Server ， Switchl 和 
Switch2 作为 VIP 的 
Client。 


PC-PT 


pe Switch: ~~、 

192.168.0.2 client ~ ia/ 

Gig/2p 
i 3560-24PS 
Client 一 
Switcho 
VLAN1 5 
本 server 
一 
一 ”干道 链 路 


PC-PT 
PC2 


192.168.0.3 
Client 


VTP Domain todd 
VTP password Cisco 


全 图 7-23 配置 VIP 域 


配置 完成 后 验证 VTP 功能 。 


操作 步骤 如 下 。 


(1) 在 Switchl 和 Switch2 上 ， 配 置 VTP 域名 、 密 码 和 模式 。 


Switch (config) #vt 


Switch (config) #vtp domain todd 


Switch (config) #vtp password Cisco 


Switch (config) #vtp mode client 


(2) 在 Switch0 上 ， 配 置 VTP 域名 、 密 码 和 模式 。 


Switch>en 


Switch#config t 


Switch (config) #vtp domain todd 


Setting device VLAN database password to Cisco 


Switch (config) #vtp mode server 
(3) 在 Switch0 上 创建 VLAN 40。 

Switch (config) #vlan 40 

(4) 在 Switchl 和 Switch2 上 查看 VLAN。 


Switch#show vlan 


VLAN Name 


2 default 


Status Ports 


active Fa0/1, Fa0/2, Fa0/3, Fa0/4 


Fa0/5, Fa0/6, Fa0/7, Fa0/8 
Fa0/9, Fa0/10, Fa0/1l1l, Fa0/12 


Gig1/2 


2 VLAN0002 active Fa0/13, Fa0/14, Fa0/15, Fa0/16 
Fa0/17, Fa0/18, Fa0/19, Fa0/20 
Fa0/21, Fa0/22, Fa0/23, Fa0/24 

40 VLAN0040 active 

可 以 看 到 ， 在 Switch0 上 创建 的 VLAN， 在 Switchl 和 Switch2 上 都 能 看 到 。 

(5) 在 Switchl 上 删除 VLAN 40， 创 建 VLAN 30。 

Switch (config) #no vlan 40 

VTP VLAN configuration not allowed when device is in CLIENT mode. 

Switch (config) #vlan 30 


VTP VLAN configuration not allowed when device is in CLIENT mode. 


在 Client 模式 设备 上 不 能 删除 VLAN， 也 不 能 创建 VLAN.。 


(6) 你 可 以 更 改 Switchl 的 VTP 模式 为 Server， 即 可 在 该 设备 上 创建 和 删除 VLAN。 
Switch (config) #vtp mode server 

(7) 在 Switch0 上 查看 VIP 配置 。 

Switch#show vtp status 

VTP Version ==2 

Configuration Revision --10 


Maximum VLANs supported locally --1005 


Number of existing VLANs --7 

VTP Operating Mode --Server 

VTP Domain Name --todd 

VTP Pruning Mode --Disabled 

VTP V2 Mode --Disabled 

VTP Traps Generation --Disabled 

MD5 digest —-0xE2 0XB1 0xRA5 0X30 0xE5 0X68 0xD5 OxA4 


Configuration last modified by 0.0.0.0 at 3-1-93 00:00:00 
Local updater ID is 0.0.0.0 (no valid interface found) 


Switch# 


将 交换 机 设置 为 同一 个 VIP 域 ,一 个 VIP 域 最 少 有 一 个 VIP Server， 在 Server 
上 可 以 方便 地 管理 交换 机 中 VLAN 的 添加 或 删除 。 你 需要 在 每 一 个 交换 机 上 将 


交换 机 的 端口 指定 到 特定 VLAN， 这 一 点 没有 办 法 统一 管理 。 
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AL 配置 VLAN 间 路 由 


VLAN 是 建立 在 物理 网 络 基础 上 的 一 种 逻辑 子 网 ， 因 此 建立 VLAN 需要 相应 的 支持 
VLAN 技术 的 网 络 设备 。 当 网 络 中 的 不 同 VLAN 间 进 行 相互 通信 时 ， 需 要 路 由 的 支持 ， 这 
时 就 需要 增加 路 由 设备 一 一 要 实现 路 由 功能 , 既 可 采用 路 由 器 , 也 可 采用 三 层 交 换 机 来 完成 。 


7.5.1 单 臂 路 由 器 实现 VLAN 间 路 由 


如 图 7-24 (a) 所 示 ， Switchl 上 有 VLAN1 和 VLAN2, 要 想 实 现 这 两 个 VLAN 的 路 
可 以 使 用 路 由 器 的 两 个 以 太 网 接口 分 别 接 入 到 交换 机 的 VLAN1 接口 和 VLAN2 接口 ， 作 为 
VLAN1 和 VLAN2 的 网 关 。 


Gi 0/0.1 Gi 0/0.2 
封装 dotla 1 封装 dotla 2 
‘0 IP 192.168.2.1/24 


PC-PT 
PC1 
2 


2 
192. 168. 1.0/24 


192. 168. 2. 0/24 


人 图 7-24 单 辟 路 由 等 价 图 

如 果 路 由 器 的 以 太 网 接口 支持 802.1 Q 或 ISL， 皆 可 以 将 路 由 器 的 以 太 网 接口 和 交换 机 
的 干道 接口 相连 接 ， 通 过 将 路 由 器 的 物理 接口 分 为 逻辑 上 的 接口 ， 分 别 作为 VLAN1 和 
VLAN?2 的 网 关 。 使 用 这 种 方式 实现 VLAN 间 路 由 就 是 单 臂 路 由 。 

路 由 器 接口 FastEthernet 或 GigabitEthemet 支持 单 辟 路 由 。 

打开 随 书 光盘 中 第 7 章 练习 “08 单 辟 路 由 .pkt”， 计 算 机 的 IP 地 址 已 经 按照 图 7-25 所 
示 配 置 完成 ， 你 需要 在 交换 机 上 创建 VLAN 2， 将 Fa0/13 一 24 接口 指定 到 VLAN 2， 将 交换 
机 的 Gig11 配置 为 干道 接口 ， 配 置 路 由 器 的 Gig0/0 子 接口 支持 VLAN1 和 VLAN2。 

(1) 在 Switchl 上 ， 创 建 VLAN 2， 将 端口 指定 到 VLAN 2。 

Switch#config 七 

Switch (config) #vlan 2 一 -创建 VLAN 2 

Switch (config-vlan) #ex 

Switch (config) #interface range fastEthernet 0/13 -24 

Switch (config-if-range) #switchport mode access 一 -指定 为 访问 接口 

Switch (config-if-range) #switchport access vlan 2 -- 指 定 到 VLAN 2 


Switch (config-if-range) #exi 


Switch (config) #interface gigabitEthernet 1/1 
Switch (config-if) #switchport mode trunk 一 -将 连接 路 由 器 的 接口 配置 为 干道 
(2) 在 Router0 上 ， 配 置 子 接口 支持 VLAN。 
Router>en 
Router#config t 
Router (config) #interface gigabitEthernet 0/0 -- 进 入 接口 配置 模式 
Router (config-if) #no sh 一 -物理 接口 需要 启用 ， 不 需 配 置 IP 地 址 
Router (config-if) #ex 
Router (config) #interface gigabitEthernet 0/0.1 
-- 0.1 子 接口 ， 使 之 作为 VLAN1 的 网 关 
Router (config-subif) #encapsulation dotlQ 1 
一 -配置 封装 干道 封装 ，1 代表 VLAN1 的 帧 标记 
Router (config-subif) #ip address 192.168.1.1 255.255.255.0 
一 -为 子 接口 添加 IP 地 址 
Router (config-subif) #no sh 一 -启用 子 接口 
Router (config-subif) #ex 
Router (config) #interface gigabitEthernet 0/0.2 
--0.2 子 接口 ， 使 之 作为 VLAN2 的 网 关 
Router (config-subif) #encapsulation dotlQ 2 
一 -配置 封装 干道 封装 ，2 代表 VLAN2 的 帧 标记 
Router (config-subif) #ip address 192.168.2.1 255.255.255.0 
一 -为 子 接口 添加 IP 地 址 
Router (config-subif) #no shutdown 一 -启用 子 接口 
子 接口 的 编号 最 好 和 VLAN 的 编号 相同 ， 这 样 好 记 。 
(3) PC0 ping PC1， 测 试 VLAN 间 路 由 。 
PC>ping 192.168.2.2 
Pinging 192.168.2.2 with 32 bytes of data: 
Request timed out. 
Reply from 192.168.2.2: bytes=32 time=40ms TTL=127 
Reply from 192.168.2.2: bytes=32 time=30ms TTL=127 
Reply from 192.168.2.2: bytes=32 time=24ms TTL=127 
Eing Statistica for 192-168.2.2: 
Packets: Sent = 4, Received = 3, Lost = 1 (25% loss) 
Approximate round trip times in milli-seconds: 


Minimum = 24ms, Maximum = 40ms, Average = 3lms 
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7.5.2 ”多 层 交换 机 实现 VLAN 间 路 由 


使 用 多 层 交换 机 实现 VLAN 间 路 由 , 多 层 交 换 机 虚拟 接口 (Switch Virtual Interface, SVI) 
代表 一 个 由 交换 端口 构成 的 VLAN (其 实 就 是 通常 所 说 的 VLAN 接口 )， 以 便于 实现 系统 中 
路 由 和 桥接 的 功能 。 一 个 交换 机 虚拟 接口 对 应 一 个 VLAN， 当 需要 路 由 虚拟 局 域 网 之 间 的 流 
量 或 桥接 VLAN 之 间 不 可 路 由 的 协议 ， 以 及 提供 人 P 主机 到 交换 机 连接 的 时 候 ， 就 需要 为 相 
应 的 虚拟 局 域 网 配置 交换 机 虚拟 接口 。 其 实 SVI 就 是 通常 所 说 的 VLAN 接口 ， 只 不 过 它 是 


虚拟 的 ， 用 于 连接 整个 
VLAN， 所 以 将 这 种 接口 


称 为 逻辑 三 层 接 口 ， 也 是 = sh 干道 链 路 


三 层 接口 。SVI 接口 是 当 
在 Interface VLAN 全 局 配 
置 命令 后 面 键入 具体 的 
VLAN ID 时 创建 的 。 
打开 随 书 光盘 中 第 7 
章 练习 “08 多 层 交 换 机 实 
现 VLAN 间 路 由 .pkt”， 网 
络 拓扑 如 图 7-25 所 示 ，, 网 
络 中 VLAN1 和 VLAN2 
中 计算 机 的 下 地 址 已 经 配 
置 完 成 ， 网 关 是 本 网 段 的 全 图 7-25 多 层 交换 机 实现 VLAN 间 路 由 
第 一 个 地 址 。 交 换 机 之 间 
的 连接 已 经 配置 为 干道 链 路 。 


~ ~6ia/y 


Sig/2p' 
pr 3560-24PS 
Switch0 


多 层 交 换 机 


你 需要 配置 多 层 交 换 机 Switch0 的 SVI 接口 ， 使 之 支持 VLAN1 和 VLAN2 的 路 由 ， 并 


验证 VLAN 间 路 由 。 
操作 步骤 如 下 。 
(1) 在 Switch0 上 ， 配 置 VLAN 接口 。 
Switch (config) #interface vlan 1 -- 进 入 VLAN 1 的 虚拟 接口 
Switch (config-if) #ip address 192.168.0.1 255.255.255.0 
Switch (config-if) #no sh 
Switch (config-if) #exi 


Switch (config) #interface vlan 2 


一 -进入 VLAN 2 的 虚拟 接口 ， 该 命令 也 用 于 创建 虚拟 接口 


Switch (Config-if) #ip address 192.168.1.1 255.255.255.0 
Switch (config-if) #no sh 一 -启用 接口 ， 这 个 命令 很 必要 
(2) 查看 VLAN 接口 。 

Switch#show interfaces vlan 1 


Vlanl is up, line protocol is up 


Hardware is CPU Interface, address is 0010.1103.0209 (bia 0010.1103.0209) 


Internet address is 192.168.0.1/24 
(3) 在 PCO 上 pingPC3。 
PC>ping 192.168.1.3 
Pinging 192.168.1.3 with 32 bytes of data: 
Request timed out. 
Reply from 192.168.1.3: bytes=32 time=33ms TTL=127 
Reply from 192.168.1.3: bytes=32 time=30ms TTL=127 
Reply from 192.168.1.3: bytes=32 time=12ms TTL=127 
Ping statistics for 192.168.1.3: 

Packets: Sent = 4, Received = 3, Lost = 1 (25% loss) 

Approximate round trip times in milli-seconds: 


Minimum = 12ms，Maximum = 33ms, Average = 25ms 


rs 


1. 网 络 如 图 7-26 所 示 ， 在 汇聚 层 交换 机 实现 VLAN 间 路 由 ， 请 问 与 汇聚 层 交 换 机 连接 
的 哪些 链 路 需要 配置 为 干道 ? 


于 网 VLAN 间 路 由 在 多 层 Switch(config)#interface vlan 1 


Switch(config)#interface vlan 2 
交换 机 上 实现 Switch(config)#interface vlan 3 
汇聚 层 Switch(config)#interface vlan 4 


全 图 7-26 需要 配置 为 干道 的 链 路 
2. 以 太 网 交换 机 工作 在 OSI 的 (1) ， 并 按照 ” (2) ”来 进行 信息 转发 的 决策 。 
以 太 网 交换 机 上 的 每 个 端口 都 可 以 绑 定 一 个 或 多 个 (3) _。 
(1) A. 物理 层 B. 数据 链 路 层 
C. 网 络 层 D. 传输 层 
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(2) A. 端口 的 他 地 址 B. 数据 包 中 的 MAC 地 址 
C. 网 络 广播 D. 组 播 地 址 

(3) A. 网 关 地 址 B.LLC 地 址 
C. MAC 地 址 D. 卫 地 址 


3. 组 建 局 域 网 可 以 用 集线器 ,也 可 以 用 交换 机 。 用 集线器 连接 的 一 组 工作 站 (1) 
用 交换 机 连接 的 一 组 工作 站 (2) _。 
(1) A. 同属 于 一 个 冲突 域 ， 但 不 属于 一 个 广播 域 
B. 同属 于 一 个 冲突 域 ， 也 同属 于 一 个 广播 域 
C. 不 属于 一 个 冲突 域 ， 但 同属 于 一 个 广播 域 
D. 不 属于 一 个 冲突 域 ， 也 不 属于 一 个 广播 域 
(2) A. 同属 于 一 个 冲突 域 ， 但 不 属于 一 个 广播 域 
B. 同属 于 一 个 冲突 域 ， 也 同属 于 一 个 广播 域 
C. 不 属于 一 个 冲突 域 ， 但 同属 于 一 个 广播 域 
D. 不 属于 一 个 冲突 域 ， 也 不 属于 一 个 广播 域 
4. 一 个 园区 网 内 某 VLAN 中 的 网 关 地 址 设置 为 195.26.16.1， 子 网 掩 人 码 设置 为 
255.255.240.0， 则 下 地 址 ”QD) _ 不 属于 该 VLAN。 该 VLAN 最 多 可 以 配置 _(2) 


台 卫 地 址 主机 。 
(1) A.195.26.15.3 B. 195.26.18.128 
C. 195.26.24.254 D. 195.26.31.64 
(2) A.1021 B. 1024 
C. 4093 D. 4096 


5. VLAN 中 ， 每 个 虚拟 局 域 网 组 成 一 个 (1) ， 如 果 一 个 VLAN 跨越 多 个 交换 机 ， 
则 属于 同一 VLAN 的 工作 站 要 通过 (2) ”互相 通信 。 


(1) A. 区 域 B. 组 播 域 
C. 冲突 域 D. 广播 域 

(2) A. 应 用 服务 器 B. 主干 (Trank) 线路 
C. 环 网 D. 本 地 交换 机 


6. 在 默认 配置 的 情况 下 ， 交 换 机 的 所 有 端口 。 Q)》 _。 连 接 在 不 同 交 换 机 上 的 、 属 于 
同一 VLAN 的 数据 帧 必须 通过 (2〉_ 传输 。 


(1) A. 处 于 直通 状态 B. 属于 同一 VLAN 
C. 属于 不 同 VLAN D. 地 址 都 相同 

(2) A. 服务 器 B. 路 由 器 
C. Backbone 链 路 D. Trunk 链 路 


7. 虚拟 局 域 网 中 继 协议 (VIP) 有 三 种 工作 模式 ， 即 服务 器 模式 、 客 户 机 模式 和 透明 模 
式 ， 以 下 关于 这 三 种 工作 模式 的 叙述 中 ， 不 正确 的 是 。 
A. 在 服务 器 模式 下 可 以 设置 VLAN 信息 
B. 在 服务 器 模式 下 可 以 广播 VLAN 信息 


C. 在 客户 机 模式 下 不 可 以 设置 VLAN 信息 
D. 在 透明 模式 下 不 可 以 设置 VLAN 信息 
8. 在 下 面 关 于 VLAN 的 描述 中 ， 不 正确 的 是 
A. VLAN 把 交换 机 划分 成 多 个 逻辑 上 独立 的 交换 机 
B. 主干 链 路 〈Trunk) 可 以 提供 多 个 VLAN 之 间 通 信 的 公共 通道 
C. 由 于 包含 了 多 个 交换 机 ， 所 以 VLAN 扩大 了 冲突 域 
D. 一 个 VLAN 可 以 跨越 交换 机 
9. 下 面 有 关 VLAN 的 语句 中 ， 正 确 的 是 
A. 虚拟 局 域 网 中 继 协议 VTP (VLAN Trunk Protocol ) 用 于 在 路 由 器 之 间 交 换 不 同 
VLAN 的 信息 
B. 为 了 抑制 广播 风暴 ,不同 的 VLAN 之 间 必 须 用 网 桥 分 隔 
C. 交换 机 工作 在 VTP 服务 器 模式 ， 这 样 可 以 把 VLAN 的 配置 信息 通告 给 其 他 交 


换 机 
D. 一 台 计 算 机 可 以 属于 多 个 VLAN， 即 它 可 以 访问 多 个 VLAN， 也 可 以 被 多 个 
VLAN 访问 
10. 划分 VLAN 的 方法 有 多 种 ， 这 些 方法 中 不 包括 __。 
A. 根据 端口 划分 B. 根据 路 由 设备 划分 
C. 根据 MAC 地 址 划分 D. 根据 下 地址 划分 
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习题 答案 
1. 配置 为 干道 链 路 的 有 B、C、D。 由 于 在 SwitchA 上 只 有 一 个 VLAN， 因 此 A 链 
路 可 以 配置 为 访问 链 路 ， 在 汇聚 层 交 换 机 上 需要 将 A 接口 配置 为 Access 接口 ， 
并 将 其 指定 到 VLAN4 即 可 。 


紧 雇 豆 洁 


a VLAN 间 路 由 在 多 层 Switch(config)#interface vlan 1 
Switch(config)#interface vlan 2 

交换 机 上 实现 Switch(config)#interface vlan 3 

汇聚 层 Switch(config)#interface vlan 4 


2. (1) B (2) B (3) C 

ED 

4. (1) A (2) C 因为 路 由 器 已 经 用 了 一 个 人 P 地 址 ， 可 用 的 主机 地 址 还 剩 下 16X 
256 一 3=4093 

S 《1) D2YB 

6. (1) B (2) D 

7.D 

SG 

9.C 

10.B 、D 
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作为 一 个 系统 管理 员 ， 保 护 敏感 重要 的 数据 和 网 络 资源 、 防 止 可 能 的 恶意 入 侵 ， 是 最 优 
先 考 虑 的 事情 。 网 络 安全 的 范畴 很 广泛 ， 包 括 物理 层 安 全 、 数 据 链 路 层 安全 、 网 络 层 安全 、 
传输 层 安 全 以 及 应 用 层 安全 ， 但 是 本 章 的 重点 在 于 网 络 层 安全 。 

通过 在 路 由 器 上 配置 访问 控制 列表 ， 可 以 实现 数据 流量 过 滤 ， 从 而 实现 网 络 层 安全 。 比 
如 不 允许 财务 部 门 计算 机 所 在 的 网 段 访 问 Intemet， 销 售 部 的 计算 机 所 在 的 网 段 能 够 访问 
Intermet 上 网 站 但 不 允许 上 网 聊天 ， 禁 正 Internet 的 黑客 使 用 地 址 欺骗 攻击 内 网 。 

本 章 主 要 内 容 : 

a ”从 OSI 参考 模型 来 看 网 络 安全 

a 典型 的 安全 网 络 架 构 

a 安全 威胁 

a ”标准 访问 控制 列表 

a 扩展 访问 控制 列表 

a ”使 用 访问 控制 列表 保护 路 由 安全 使 用 

”访问 控制 列表 的 位 置 
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.1 ma 雪人 站 


在 讲解 路 由 器 上 实现 网 络 层 安全 之 前 ， 先 从 广义 上 为 大 家 介绍 一 下 网 络 安全 涉及 的 范围。 
8.1.1 从 OSI 参考 模型 来 看 网 络 安全 


在 工作 中 可 能 会 听 到 这 样 的 词 “ 物 理 层 安 全 ” “数据 链 路 层 安 全 ” “网 络 层 安全 ” “应 
用 层 安全 ”， 这 些 都 是 根据 OSI 参考 模型 的 分 层 来 说 的 。 

OSI 参考 模型 将 数据 通信 分 为 7 层 : 应 用 层 、 表 示 层 、 会 话 层 、 传 输 层 、 网 络 层 、 数 据 
链 路 层 和 物理 层 。 网 络 安全 也 可 以 从 这 个 角度 来 分 类 。 

下 面 针 对 OSI 参考 模型 的 层 列举 一 些 安全 的 例子 。 


1. 物理 层 安 全 


通过 网 络 设备 进行 攻击 : Hub 和 无 线 AP 进行 攻击 。 攻 击 者 将 计算 机 连接 到 使 用 Hub 组 
建 的 网 络 中 就 可 以 捕获 其 他 用 户 通信 的 数据 包 。 无 线 AP 如 果 没 有 安全 措施 ， 攻 击 者 可 以 捕 
获 无 线 AP 通信 。 再 比如 ， 你 公司 的 办 公 大 楼 ， 其 中 一 层 租 给 保险 公司 ， 这 一 层 的 办 公 室 的 
网 线 还 在 你 公司 的 交换 机 上 连接 , 并 且 没 有 禁用 这 些 端 口 , 保险 公司 就 可 以 将 计算 机 轻易 接 
入 到 你 公司 的 网 络 ， 这 就 是 物理 层 不 安全 。 

物理 层 安全 措施 : 使 用 交换 机 替代 Hub， 为 无 线 AP 配置 密码 实现 无 线 设备 的 接 入 保护 
和 实现 数据 加 密 通信 。 


2. 数据 链 路 层 安全 


数据 链 路 层 攻击 : 恶意 获取 数据 或 MAC 地 址 ， 由 于 大 多 数 IDS 和 操作 系统 对 网 络 层 以 
下 的 防御 很 弱 ， 因 此 很 危险 。 攻 击 方式 有 ARP 欺骗 、ARP 广播 ， 同 一 网 段 有 重复 的 MAC 
地 址 。 

数据 链 路 层 安全 措施 : 在 交换 机 的 端口 上 控制 连接 计算 机 的 数量 或 绑 定 MAC 地 址 ， 这 
些 都 是 数据 链 路 层 安全 。 在 交换 机 上 划分 VLAN 也 属于 数据 链 路 层 安全 。 在 计算 机 和 路 上 
器 上 添加 了 P 地 址 和 MAC 地 址 绑 定 可 防止 ARP 欺骗 。ADSL 拨号 上 网 的 账号 和 密码 实现 的 


3. 网 络 层 安 全 


网 络 层 攻击 :IP Spoofing(IP 欺骗 )、Fragmentation Attacks( 碎 片 攻 击 )、Reassembly attacks 
重组 攻击 )、Ping of death (Ping 死 攻击 )。 

网 络 层 安 全 措施 :在 路 由 器 上 设置 访问 控制 列表 和 JIPSec、 在 Windows 上 实现 的 Windows 
防火 墙 和 了 PSec， 这 些 都 属于 网 络 层 安全 。 


4. 传输 层 安 全 


一 


传输 层 攻 击 : Port Scan (端口 扫描 )、TCP reset attack (TCP 重 置 攻击 )、SYN Dos floods 


(SYN 拒绝 服务 攻击 )、LAND attack (LAND 攻击 )、Session hijacking (会 话 劫持 )。 
5. 应 用 层 安 全 


应 用 层 攻 击 : MS-SQL Slammer worm 缓冲 区 溢出 、IIS 红色 警报 、E-mail 蠕虫 、 蠕 虫 、 
病毒 、 木 马 、 垃 圾 邮件 、 正 漏洞 。 
安全 措施 : 安装 杀毒 软件 ， 更 新 操作 系统 。 


8.1.2 ”典型 的 安全 网 络 架构 


许多 大 中 型 企业 网 络 中 , 各 种 
各 样 的 安全 策略 都 是 基于 内 网 、 非 内 网 
军事 区 (DMZ) 路 由 器 以 及 防火 
墙 设备 的 。 防 火 墙 通过 屏蔽 各 部 分 
的 网 络 流量 来 提供 附加 的 安全 保 
障 , 而 进行 这 些 工 作 需 要 使 用 访问 
控制 列表 。 
典型 的 网 络 架构 如 图 8-1 所 
示 的 三 向 外 围 网 , 防火 墙 设备 连接 
Internet、 内 网 和 DMZ 区 。DMZ 
区 部 署 了 公司 对 外 的 Web 和 Mail 
服务 器 ， 一 般 是 公 网 人 P 地 址 。 内 
网 是 私 网 PP 地 址 ， 一 般 不 对 
Internet 用 户 提供 服务 ， 但 是 需要 内 网 
访问 Intemet。 如 果 入 侵 者 突破 了 
该 防火 墙 ， 就 威胁 到 DMZ 和 内 网 
的 安全 。 
nternet 
另外 一 种 典型 的 网 络 架构 就 
是 背靠背 防火 墙 ， 如 图 8-2 所 示 ， 
两 个 防火 墙 之 间 是 DMZ 区 ， 内 网 
在 后 端 防火 墙 后 端 ,建议 这 两 个 防 
火 墙 不 是 同一 家 公司 的 产品 , 比如 
前 端 使 用 Cisco 公司 的 PIX 防火 
墙 ， 后 端 使 用 微软 的 软件 防火 墙 
ISA 2006。 这 样 入 侵 者 要 想 入 侵 内 
网 ， 就 需要 突破 两 个 不 同 厂商 的 防火 墙 ， 增 加 了 难度 。 


8.1.3 ”防火 墙 的 种 类 


Internet 


全 图 8-1 三 向 外 围 网 


前 端 防火 墙 。 后 端 防火 增 


全 图 8-2 背靠背 防火 墙 


防火 墙 总 体 上 分 为 包 过 滤 、 应 用 级 网 关 和 代理 服务 器 等 几 大 类 型 。 
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1. 数据 包 过 滤 


数据 包 过 滤 (Packet Filtering) 技术 是 在 网 络 层 对 数据 包 进 行 选择 ， 选 择 的 依据 是 系统 
内 设置 的 过 滤 逻 辑 ， 被 称 为 访问 控制 列表 (Access Control List，ACL)。 通 过 检查 数据 流 中 
每 个 数据 包 的 源 地 址 、 目 的 地 址 、 所 用 的 端口 号 、 协 议 状态 等 因素 ， 或 它们 的 组 合 来 确定 是 
否 人 允许 该 数据 包 通 过 。 数 据 包 过 滤 防 火 墙 逻辑 简单 、 价 格 便宜 、 易 于 安装 和 使 用 ， 网 络 性 能 
和 透明 性 好 ， 它 通常 安装 在 路 由 器 上 。 路 由 器 是 内 部 网 络 与 Internet 连接 必 不 可 少 的 设备 ， 
因此 在 原 有 网 络 上 增加 这 样 的 防火 墙 几乎 不 需要 任何 额外 的 费用 。 

数据 包 过 滤 又 称 为 网 络 级 别 防火 墙 , 网 络 级 别 的 防火 墙 很 快 , 在 今天 你 仍然 可 以 在 许多 
网 络 设施 上 找到 它们 的 身影 ， 特 别 是 在 路 由 器 上 。 但 是 不 能 基于 数据 包 的 内 容 过 滤 数 据 。 


2. 应 用 级 网 关 


应 用 级 网 关 (Application Level Gateways) 是 在 网 络 应 用 层 上 建立 协议 过 滤 和 转发 功能 。 
它 针 对 特定 的 网 络 应 用 服务 协议 使 用 指定 的 数据 过 滤 逻 辑 ， 并 在 过 滤 的 同时 ,对 数据 包 进 行 
必要 的 分 析 、 登 记 和 统计 ， 形 成 报告 。 实 际 中 的 应 用 网 关 通 常安 装 在 专用 工作 站 系统 上 。 

数据 包 过 滤 和 应 用 网 关 防 火 墙 有 一 个 共同 的 特点 ， 就 是 它们 仅仅 依靠 特定 的 逻辑 判定 是 
和 否 允 许 数据 包 通 过 。 一 旦 满足 逻辑 ， 防 火 墙 内 外 的 计算 机 系统 则 建立 直接 联系 ， 防 火 墙 外 部 
的 用 户 便 有 可 能 直接 了 解 防 火 墙 内 部 的 网 络 结构 和 运行 状态 ， 这 有 利于 实施 非法 访问 和 攻击 。 


3. 代理 服务 


代理 服务 (Proxy Service) 也 称 链 路 级 网 关 或 TCP 通道 (Circuit Level Gateways or TCP 
Tunnels)， 也 有 人 将 它 归 于 应 用 级 网 关 一 类 。 它 是 针对 数据 包 过 滤 和 应 用 网 关 技 术 存在 的 缺 
点 而 引入 的 防火 墙 技 术 ， 其 特点 是 将 所 有 跨越 防火 墙 的 网 络 通信 链 路 分 为 两 段 。 防 火 墙 内 外 
计算 机 系统 间 应 用 层 的 “链接 ”由 两 个 终止 代理 服务 器 上 的 “链接 ”来 实现 ， 外 部 计算 机 的 
网 络 链 路 只 能 到 达 代 理 服务 器 ， 从 而 起 到 了 隔离 防火 墙 内 外 计算 机 系统 的 作用 。 此 外 ， 代 
理 服务 也 对 过 往 的 数据 包 进 行 分 析 、 注 册 登 记 ， 形 成 报告 ， 同 时 当 发 现 被 攻击 迹象 时 会 向 网 
络 管理 员 发 出 警报 ， 并 保留 攻击 痕迹 。 国 内 代理 服务 器 软件 有 CCProxy， 微 软 的 代理 服务 器 
软件 ISA2006。 

防火 墙 能 有 效 地 防止 外 来 入 侵 ， 它 在 网 络 系统 中 的 作用 如 下 。 

a 控制 进出 网 络 的 信息 流向 和 信息 包 。 

。 ”提供 流量 统计 和 审计 。 

=。 ”隐藏 内 部 人 地址 及 网 络 结构 的 细节 。 

=。 ”入 侵 检测 且 对 检测 到 的 入 侵 采 取 响 应 。 


8.1.4 常见 的 安全 威胁 
因特网 变 成 今天 如 此 重要 的 工具 ,是 它 的 创建 者 绝对 想不到 的 。 在 网 络 设计 阶段 就 没有 


很 好 地 将 安全 考虑 进去 ， 这 也 是 为 什么 安全 会 变 成 如 此 大 的 问题 的 原因 一 一 TCP/IP 与 生 俱 
来 就 是 不 安全 的 。Cisco 有 许多 容 门 帮助 我 们 来 处 理 这 些 问 题 ， 下 面 让 我 们 来 分 析 一 些 常见 


网 络 安全 加 到 是 是 是 到 


的 攻击 。 
1. 应 用 层 攻 击 


这 些 攻击 通常 瞄准 运行 在 服务 器 上 的 软件 漏洞 ， 而 这 些 漏洞 众所周知 。 比 如 ， 服 务 器 运 
行 FTP、Mail、HTTP 服务 都 有 可 能 有 漏洞 。 因 为 这 些 账户 的 许可 层 都 获得 了 一 定 的 特权 ， 如 
果 这 人 台 计 算 机 正在 运行 以 上 提 到 的 应 用 程序 中 的 一 种 ， 恶 意 者 就 可 以 访问 并 掠 取 计 算 机 资源 。 


2. Autorooters 


你 可 以 把 它 想象 为 一 种 黑客 机 器 人 。 恶 意 者 使 用 某 种 叫做 Rootkit 的 东西 来 探测 、 扫 描 
并 从 目标 计算 机 上 捕获 数据 ， 装 了 Rootkit 后 的 目标 计算 机 像 是 在 整个 系统 中 装 了 “了 眼睛” 
一 样 ， 自 动 监视 着 整个 系统 。 


3. 后 门 程 序 


后 门 程序 是 通 往 一 个 计算 机 或 网 络 的 简洁 路 径 。 经 过 简单 入 侵 或 是 经 过 更 精心 设计 的 特 
洛 伊 木 马 代码 ， 恶 意 者 可 使 用 植 入 攻击 进入 一 台 指 定 的 主机 或 是 网 络 ,无 论 何 时 它们 都 可 进 
入 一 一 除非 你 发 觉 并 阻止 它们 。 


4. 拒绝 服务 DoS)〉 和 分布 式 拒绝 服务 器 (DDoS) 攻击 


这 些 攻 击 很 恶劣 一 一 摆脱 它们 同样 也 很 费力 。 即 使 黑客 们 都 鄙视 使 用 这 种 攻击 的 黑客 
(因为 它们 如 此 令 人 大 恶 ), 但 是 它们 真 的 很 容易 就 能 实现 。 从 根本 上 说 ， 当 一 个 服务 超 范围 
索取 系统 正常 提供 它 的 资源 时 ， 它 将 变 得 不 正常 ， 而 且 存 在 不 同 的 攻击 风格 。 

a ”TCP SYN 泛 洪 攻击 : 发 生 在 一 个 客户 端 发 起 表面 上 普通 的 TCP 连接 并 且 发 送 SYN 
信息 到 一 台 服 务 器 时 。 这 台 服 务 器 通过 发 送 SYN-ACK 信息 到 客户 端 进行 响应 ， 这 
样 就 通过 往返 ACK 信息 建立 连接 。 听 起 来 很 好 ， 但 正 是 在 这 个 过 程 ， 当 连接 仅 
有 一 半 打 开 的 时 候 ) 中 ,受害 的 计算 机 将 完全 被 蜂拥 而 至 的 半 打 开 连 接 所 淹没 ， 最 
终 导 致 瘫痪 。 

a “死亡 之 ping” 攻 击 : 你 可 能 知道 TCP/IP 的 最 大 包 大 小 为 65536 字 节 。 不 知道 也 
没关系 ， 仅 需要 了 解 这 种 攻击 通过 使 用 大 量 数据 包 进 行 ping 操作 来 实行 攻击 ， 这 
些 数据 包 可 导致 设备 不 间断 地 重启 、 停 滞 或 完全 崩溃 。 


5. IP 欺骗 


这 有 点 像 它 的 名 字 ， 恶 意 者 从 你 的 网 络 内 部 或 外 部 ， 通 过 做 下 列 两 件 事 之 一 : 以 你 的 内 
部 网 络 可 信 地 址 范围 中 的 人 P 地 址 呈现 或 者 使 用 一 个 核准 的 、 可 信 的 外 部 人 P 地 址 ， 来 伪装 
成 一 台 可 信 的 主机 。 因 为 黑客 的 真实 身份 被 隐藏 在 欺骗 地 址 之 下 ， 所 以 这 常常 仅 是 你 的 难题 
的 开始 。 


6. 中 间 人 攻击 


是 通过 各 种 技术 手段 将 受 入 侵 者 控制 的 一 台 计 算 机 虚拟 放置 在 网 络 连接 中 的 两 台 通 信 
计算 机 之 间 ， 这 人 台 计 算 机 就 称 为 “中 间 人 ”， 然 后 入 侵 者 把 这 台 计 算 机 模拟 一 台 或 两 台 原始 
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计算 机 ， 使 “中 间 人 ”能 够 与 原始 计算 机 建立 活动 连接 并 人 允许 其 读 取 或 修改 传递 的 信息 ， 但 
是 两 个 原始 计算 机 用 户 却 认为 它们 是 在 互相 通信 。 


7. 网 络 侦察 


在 入 侵 一 个 网 络 之 前 ， 黑 客 经 常会 收集 所 有 关于 这 个 网 络 的 信息 ， 因 为 他 们 对 这 个 网 络 
知道 得 越 多 ， 越 容易 对 它 造成 危害 。 他 们 通过 类 似 端口 扫描 、DNS 查询 、ping 扫描 等 方法 
实现 他 们 的 目的 。 

8. 包 嗅 控 


包 嗅 探 的 工作 原理 : 网 络 适 配 卡 开始 工作 于 混杂 模式 ， 它 发 送 的 所 有 包 都 可 以 被 一 个 特 
殊 的 应 用 程序 从 网 络 的 物理 层 窃 取 ， 并 进行 查看 及 分 类 。 包 嗅 探 常 偷 取 一 些 价值 高 、 敏 感 的 
数据 ， 其 中 包括 口令 和 用 户 名 ， 在 实施 身份 盗 取 时 能 获得 超 值 信息 。 


9. 口令 攻击 


口令 攻击 有 许多 方式 ， 可 经 由 多 种 较 成 熟 类 型 的 攻击 实现 。 这 些 攻 击 包 括 卫 欺骗 、 包 
嗅 探 以 及 特洛伊 木马 ， 它 们 唯一 的 目的 就 是 发 现 用 户 的 口令 ， 这 样 ， 它 们 就 可 以 伪装 成 一 个 
合法 的 用 户 ， 访 问 用 户 的 特许 操作 及 资源 。 

10. 强暴 攻击 


强暴 攻击 是 另 一 种 面向 软件 的 攻击 , 使 用 运行 在 目标 网 络 的 程序 党 试 连接 到 某 些 类 型 的 
共享 网 络 资源 。 如 果 访 问 账户 拥有 很 多 特权 ， 对 于 黑客 来 说 这 是 非常 完美 的 ， 因 为 这 些 恶 意 
者 可 以 开启 后 门 ， 再 次 访问 就 可 以 完全 绕 过 口令 。 

11. 端口 重 定向 攻击 


端口 重 定向 攻击 要 求 黑客 已 经 侵入 主机 ， 并 经 由 防火 墙 得 到 被 改变 的 流量 (这些 流 量 通 
常 是 不 被 允许 通过 的 )。 


12. 特洛伊 木马 攻击 和 病毒 


这 两 种 攻击 实际 上 比较 相似 : 特洛伊 木马 和 病毒 都 使 用 恶意 代码 感染 用 户 计算 机 ， 使 得 
用 户 计算 机 遭受 不 同 程度 的 瘫痪 、 破 坏 甚 至 崩溃 。 但 是 它们 之 间 还 是 有 区 别 的 : 病毒 是 真正 
恶意 程序 ， 附着 在 command.com 文件 之 上 , 而 command.com 又 是 Windows 系统 的 主要 解释 
文件 。 病 毒 接 着 会 疯狂 地 运行 ， 删 除 文件 并 且 感 染 计 算 机 上 任何 command.com 的 文件 ， 特 
洛 伊 木 马 是 一 个 封装 了 秘密 代码 的 真正 的 完整 应 用 程序 , 这 些 秘密 代码 使 得 它们 呈现 为 完全 
不 同 的 实体 ， 表 面 上 像 是 一 个 简单 、 天 真 的 游戏 ， 实 际 上 具有 了 丑陋 的 破坏 工具 的 本 质 。 


13. 信任 利用 攻击 


信任 利用 攻击 发 生 在 内 网 之 中 ， 由 某 些 人 利用 内 网 中 的 可 信 关 系 来 实施 。 例如， 一 个 公 
司 的 非 军事 网 络 连 接 中 通常 运行 着 类 似 SMTP、DNS 以 及 HTTP 服务 器 等 重要 的 东西 , 一 旦 
和 它们 处 在 同一 网 段 时 ， 这 些 服务 器 很 容易 遭受 攻击 。 
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网 络 福全 [和 


在 这 里 不 打算 详细 介绍 如 何 降低 上 述 每 一 种 安全 威胁 ， 不 仅 是 因为 这 将 超出 本 书 的 范 
围 ， 也 是 因为 我 打算 教 给 你 的 将 是 真正 保护 你 远离 攻击 的 一 般 方法 。 
因此 ， 基 本 上 可 以 认为 本 章 在 讲述 如 何 实现 “网 络 层 安全 ”。 


8.2 LE 


你 公司 可 能 有 多 个 部 门 ， 每 个 部 门 的 计算 机 有 一 个 单独 的 VLAN， 公 司 的 路 由 器 实现 
VLAN 间 路 由 且 连 接 Intemet。 如果 你 打算 只 允许 市 场 部 门 的 计算 机 也 就 是 VLAN1 能 够 访问 
Internet 的 资源 , 而 不 允许 QQ、MSN 等 聊天 工具 登录 ; 销售 部 门 的 计算 机 不 允许 访问 Internet， 
如 何 实现 这 样 的 控制 呢 ? 

路 由 器 不 但 能 够 在 不 同 网 段 转发 数据 包 ， 而 且 还 能 够 基于 数据 包 的 目标 地 址 、 源 地 址 、 
协议 和 端口 号 来 允许 特定 的 数据 包 通 过 或 拒绝 通过 。 要 实现 这 样 的 控制 需要 在 路 由 器 定义 访 
问 控制 列表 (ACL)， 并 将 这 些 ACL 绑 定 到 路 由 器 的 接口 。 

下 面 将 会 为 大 家 介绍 两 种 类 型 的 访问 控制 列表 , 即 标准 访问 控制 列表 和 扩展 访问 控制 列表 。 


8.2.1 标准 访问 控制 列表 


标准 访问 控制 列表 只 基于 人 P 
数据 包 的 源 IP 地 址 作为 转发 或 是 
拒绝 的 条 件 。 所 有 决定 是 基于 源 
IP 地 址 的 。 这 意味 着 标准 的 访问 
控制 列表 基本 上 允许 或 拒绝 整个 
协议 组 ,它们 不 区 分 卫 流量 类 型 ， 
例如 Telnet、UDP 等 服务 。 

打开 随 书 光盘 中 第 8 章 练习 
“01 标准 访问 控制 列表 .pkt”, 网 络 
拓扑 如 图 8-3 所 示 , 网 络 中 的 路 由 
器 和 计算 机 的 IP 地 址 已 经 按照 拓 
扑 中 的 标识 地 址 配置 完成 , 路 由 器 
上 配置 了 相应 的 路 由 。Router0 是 
企业 内 网 的 路 由 器 , 内 网 有 三 个 网 
段 ， Routerl 模拟 的 是 Internet 上 
的 路 由 器 。 


要 求 只 允许 市 场 部 和 财务 部 全 图 8-3 标准 访问 控制 列表 实验 环境 
的 计算 机 访问 Intemet， 服 务 器 组 
的 计算 机 拒绝 访问 Intemet。 
在 路 由 器 Router0 上 定义 访问 控制 列表 ,将 其 作为 Router0 的 S3/0 接口 的 出 站 访问 控制 
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列表 ， 因 为 市 场 部 和 财务 部 的 计算 机 要 访问 Intemet 必须 从 Router0 的 S3/0 接口 转发 出 去 。 


266 


操作 步骤 如 下 。 

(1) 使 用 PC7 ping WebServer、FTP ping WebServer, 发 现 都 能 通 ， 如 果 没 有 配置 ACL， 
默认 网 络 是 畅通 的 。 

PC>ping 10.0.0.2 

(2) 在 Router0 上 创建 ACL 。 

Router>en 

Router#config 七 


Router (config) #access-list ? 


<1-99> IP standard access list 一 -标准 ACL 的 编号 范围 是 1 一 99 
<100-199> IP extended access list 一 -扩展 ACL 的 编号 范围 是 100 一 199 


Router (config) #access-list 10 permit 192.168.2.0 0.0.0.255 
Router (config) #access-list 10 permit 192.168.1.0 0.0.0.255 


以 上 命令 定义 了 一 个 标准 访问 控制 列表 10， 标准 访问 控制 列表 的 编号 可 以 是 
1~99 之 间 的 任何 值 。 
后 面 的 0.0.0.255 是 反 转 掩 码 ， 也 就 是 二 进 制 的 子 网 掩 码 中 将 0 变 成 1、1 变 


成 0， 然 后 写成 十 进 制 。 

该 ACL 10 允 许 源 地 址 是 192.168.2.0 255.255.255.0 和 192.168.1.0255.255.255.0 
网 段 的 数据 包 通过 。 

访问 控制 列表 的 any 和 0.0.0.0 255.255.255.255 等 价 。 


(3) 将 ACL 10 绑 定 到 Router0 的 S3/0 出 口 
Router (config) #interface Serial 3/0 


Router (config-if) #ip access-group 10 ? 


in inbound packets --in 表示 进入 接口 时 检查 
out outbound packets --out 表示 出 接口 时 检查 
Router (config-if) #ip access-group 10 out -- 标 准 AcL 10 出 去 时 检查 


使 用 PC7 ping Webserver， 发 现 能 够 ping 通 。 


使 用 FTP ping Webserver， 有 以 下 输出 : 
Reply from 192.168.0.1: DestiNATion host unreachable . 


ACL 拦截 后 , 返回 计算 机 目标 主机 不 可 到 达 的 。 可 以 看 到 ACL 默认 隐 含 拒绝 所 有 流量 。 


每 个 接口 、 每 个 协议 或 每 个 方向 只 能 分 派 一 个 访问 列表 ， 这 意味 着 如 果 创 建 


了 "访问 列表 ， 每 个 接口 只 可 以 有 一 个 入 口 访问 列表 和 一 个 出 口 访问 列表 。 
除非 在 访问 列表 末尾 有 permit any 命令 ， 否 则 所 有 和 列表 测试 条 件 不 符 的 数 


据 包 都 将 被 丢弃 。 
每 个 列表 应 该 至 少 有 一 个 允许 语句 ， 否 则 将 会 拒绝 所 有 流量 。 


先 创 建 访问 列表 ， 然 后 将 列表 应 用 到 一 个 接口 。 任 何 应 用 到 接口 的 访问 列表 
如 果 不 是 现成 的 访问 列表 ， 那 么 此 列表 不 会 过 滤 流 量 。 
访问 列表 设计 为 过 滤 通 过 路 由 器 的 流量 ， 但 不 过 滤 路 由 器 产生 的 流量 。 


修改 现 有 的 访问 控制 列表 


继续 以 上 的 实验 。 

上 面 的 实验 已 经 在 Router0 上 配置 了 标准 的 访问 控制 列表 10, 只 允许 市 场 部 和 财务 部 的 
计算 机 能 够 访问 Internet, 但 是 拒绝 市 场 部 计算 机 PC7 访问 Internet。 如 何 更 改 访问 控制 列表 
才能 达到 以 上 目的 。 

在 ACL 10 中 添加 一 条 拒绝 主机 192.168.2.2 的 设置 。 

Router (config) #access-list 10 deny host 192.168.2.2 

host 192.168.2.2 等 价 于 192.168.2.2 0.0.0.0。 

使 用 PC7 ping WebServer 发 现 还 是 能 够 通 。 设 置 不 起 作用 ， 为 什么 呢 ? 
Router (config) #^2 

Router#show access-lists 10 一 -查看 ACL 
Standard IP access list 10 


permit 192.168.2.0 0.0.0.255 (4 match (es)) -- 第 1 条 
permit 192.168.1.0 0.0.0.255 -- 第 2 条 
deny host 192.168.2.2 -- 第 3 条 


我 们 看 到 ACL 中 的 顺序 和 添加 时 的 顺序 一 致 。 

路 由 器 在 应 用 访问 控制 列表 时 ， 会 逐一 从 上 到 下 检查 ， 如 果 发 现 匹配 的 就 不 
再 检查 ACL 中 后 面 的 设置 。 拒 绝 主 机 192.168.2.2 的 第 3 条 不 会 用 上 ， 因 为 
第 1 条 就 已 经 允许 了 。 

因此 需要 将 第 3 条 的 设置 放置 到 第 1 条 的 位 置 ， 但 是 路 由 器 没有 为 你 提供 调 
整 顺序 的 功能 ， 需 要 删除 ACL， 重 新 创建 。 这 里 有 一 个 技巧 ， 你 可 以 在 记事 
本 中 将 ACL 的 顺序 调整 好 ， 如 图 8-4 所 示 ， 再 将 记事 本 中 的 内 容 直 接 粘 贴 到 


全 局 配置 模式 下 路 由 器 配置 的 CLI。 


J IT 

文件 和 过 委 个。 从 式 (QO) 查 者 WD) 和 PH) 

access-list 10 deny host 1 .2. 2 

a st 10 permit 192. 168. 2.0 
ist 10 permit 192.168.1.0 


全 图 8-4 记事 本 中 的 内 容 
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Router (config) #no access-list 10 一 -删除 ACL 10 的 所 有 设置 

Router (config) #access-list 10 deny host 192.168.2.2 

Router (config) #access-list 10 permit 192.168.2.0 0.0.0.255 

Router (config) #access-list 10 permit 192.168.1.0 0.0.0.255 

PC7 ping WebServer 不 能 通 ， 使 用 PC4 ping WebServer 能 够 通 ， 达 到 了 预期 的 目的 。 


组 织 好 访问 控制 列表 ,要 将 更 加 有 具体 的 地 址 或 网 段 放 在 访问 控制 列表 的 最 前 面 。 


任何 时 候 访问 列表 添加 新 条 目 时 ， 将 把 新 条 目 放 置 到 列表 的 末尾 。 强 烈 推 荐 
使 用 文本 编辑 器 编辑 访问 列表 。 


不 能 从 访问 列表 中 删除 一 行 。 如 果 试 着 这 样 做 ， 将 删除 整个 列表 。 最 好 在 纺 
辑 列表 之 前 将 访问 列表 复制 到 一 个 文本 编辑 器 中 。 只 有 使 用 命名 访问 列表 时 
例外 。 


8.2.2 扩展 访问 控制 列表 eg 
; Internet 


扩展 访问 控制 列表 可 以 基于 
IP 包 的 第 3 层 和 第 4 层 信息 作为 
数据 包 是 否 转发 的 条 件 , 也 就 是 能 


够 基于 数据 包 的 源 地 址 、 目 标 地 站 

址 、 协 议和 目标 端口 这 些 条 件 来 决 | 

定 是否 转 发 数据 包 。 这 使 得 扩展 访  。 le | 
问 控制 列表 比 标准 访问 控制 列表 


的 控制 粒度 更 细 。 

打开 随 书 光盘 中 第 8 章 练习 
“02 扩展 访问 控制 列表 .pkt” 网 络 ”< 于 
拓扑 如 图 8-5 所 示 , 网 络 中 的 路 由 > 
器 和 计算 机 的 卫 地 址 已 经 按照 网 
络 拓扑 中 的 标识 地 址 配置 完成 ,路 


PC-PT 
pcs 


192. 168. 2. 0/24 


192. 168. 0.0/24 


3 
192. 168. 1. 0/24 


由 器 上 已 经 配置 了 相应 的 路 由 。 * Pe PC 

Router0 是 企业 内 网 的 路 由 器 ， 内 te 、 

网 有 三 个 网 段 ，Routerl 模拟 的 是 全 图 8-5 扩展 访问 控制 列表 实验 环境 
Internet 上 的 路 由 器 。 


在 Router0 上 定义 扩展 访问 控制 列表 实现 以 下 功能 。 
允许 市 场 部 的 计算 机 能 够 访问 Intemet. 


允许 财务 部 的 计算 机 只 能 访问 Internet 的 10.0.0.0/8 网 段 的 Web 服务 器 。 
服务 器 组 中 的 计算 机 能 够 ping 通 Intemet 的 任何 计算 机 。 
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操作 步骤 如 下 。 

(1) 在 Router0 上 创建 扩展 访问 控制 列表 。 
Router>en 

Router#config t 

Router (config) #access-list 101 permit 


Router (config) #access-list 101 permit 
0.255.255.255 eq ? 


<0-65535> Port number 


oo 
姓 


ip 192.168.2.0 0.0.0.255 any 
TCP 192.168.1:0 0.0-0.255 10=:0.0:0 


ftp File Transfer Protocol (21) 

pop3 Post Office Protocol v3 (110) 

smtp Simple Mail Transport Protocol (25) 

telnet Telnet (23) 

WwW World Wide Web (HTTP，80) --eq 后面 可 以 是 端口 或 应 用 层 协议 名 称 


Router (config) #access-list 101 permit 
0.255.255.255 eq 80 


Router (config) #access-list 101 permit 


扩展 访问 控制 列表 的 语法 : 


TEE 192=160-E:0 0=0=50=255 10°050:0 


icmp 192.168.0.0 0.0.0.255 any 


Access-list 编号 {permit | deny} {TCP | UDP } 源 地 址 目标 地 址 eq 目标 端口 
Access-list 编号 {permit | deny} {IP |ICMP } 源 地 址 目标 地 址 

如 果 协 议 是 人 或 ICMP， 则 后 面 没有 目标 端口 

如 果 你 允许 了 下 协议， 就 等 同 于 允许 了 所 有 TCP、UDP 以 及 ICMP 协议 的 流量 。 
(2) 将 扩展 访问 控制 列表 ACL 绑 定 到 Router0 的 接口 。 


Router (config) #interface Serial 3/0 


Router (config-if) #ip access-group 101 out 


(3) 验证 扩展 访问 控制 列表 的 设置 。 

市 场 部 的 计算 机 PC7 能 够 ping 通 Internet 上 
任何 计算 机 ， 也 能 够 访问 WebServer 的 网 站 ， 如 
图 8-6 所 示 。 

财务 部 的 计算 机 PC2 不 能 ping 通 Internet 上 
任何 计算 机 ， 也 能 够 访问 WebServer 的 网 站 

服务 器 组 的 计算 机 能 ping 通 Intemet 上 任何 计 
算 机 ， 但 不 能 访问 WebServer 的 网 站 。 


Te ES 


"ed 


Web Browser 
¢ | [> URL http://10.0.0.2 


Packet Ti 


You are visiting the web site on WebServer! 


Quick Links: 
InternetWeb 
Copyrights 


全 图 8-6 访问 Web 站 点 
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8.2.3 ”使 用 访问 控制 列表 保护 路 由 


为 了 远程 配置 路 由 器 方便 ， 路 由 器 一 般 都 开启 了 Telnet 功能 ， 如 何 保护 路 由 器 的 安全 
呢 ? 你 可 以 创建 访问 控制 列表 只 允许 特定 的 计算 机 能 够 Telnet 路 由 器 。 路 由 器 的 任何 一 个 接 
口 都 允许 Telnet， 你 不 得 不 将 访问 控制 列表 应 用 到 每 个 接口 的 入 口 方向 上 ， 这 对 一 个 具有 十 
几 个 甚至 上 百 个 接口 的 大 型 路 由 器 来 说 不 是 很 好 的 办 法 。 这 里 有 更 好 的 解决 方案 : 使 用 标准 
的 了 正 访 问 列表 控制 访问 VTY 线路 。 

打开 随 书 光盘 中 第 8 章 练习 “03 使 用 访问 控制 列表 保护 路 由 器 安全 .pkt”， 网 络 拓扑 如 
图 8-7 所 示 ， 路 由 器 和 计算 机 的 人 P 地 址 已 经 按照 图 示 的 地 址 配置 ， 且 路 由 器 已 经 配置 Telnet 
密码 和 enable 密码 ， 分 别 为 hanlg 和 todd。 现 在 任何 一 个 计算 机 都 可 以 Telnet 路 由 器 。 

为 了 安全 起 见 ， 你 需要 在 Router0 上 创建 标准 访问 控制 列表 ， 只 允许 ITG 部 门 的 计算 机 
可 以 Telnet 路 由 器 。 


192. 168. 0. 0/24 


192. 168. 2. 0/24 


3 
192. 168. 1.0/24 


全 图 8-7 使 用 访问 控制 列表 保护 路 由 器 安全 
(1) 在 PC7 上 Telnet 路 由 器 ， 发 现 只 要 密码 输入 正确 就 能 telnet 成 功 。 
PE>telnetlS92516952 
(2) 在 Router0 上 创建 标准 的 访问 控制 列表 
Router (config) #access-list 12 permit 192.168.1.0 0.0.0.255 -- 定 义 ACL 
Router (config) #line vty 0 15 -- 进 入 VTY 虑 接口 


Router (config-line) #access-class 12 in 一 - 绑 定 ACL 
(3) 验证 只 有 ITG 部 门 的 计算 机 能 够 Telnet 到 路 由 器 

PC7 telnet 路 由 器 ，PC2 telnet 路 由 器 。 

Pe>telnet 192 .1682.1 


aa 访问 控制 列表 的 位 置 


将 人 P 标准 访问 控制 列表 尽 可 能 放置 在 靠近 目的 地 址 的 位 置 ， 这 是 因为 我 们 并 不 真正 的 
要 在 自己 的 网 络 内 使 用 表 中 的 访问 控制 列表 。 不 能 将 标准 访问 控制 列表 放置 在 靠近 源 主机 或 
源 网 络 的 位 置 ， 因 为 这 样 会 过 滤 基 于 源 地 址 的 流量 ， 而 导致 不 能 转发 任何 流量 。 

将 扩展 访问 控制 列表 尽 可 能 放置 在 靠近 源 地 址 的 位 置 。 既 然 扩展 访问 控制 列表 可 以 过 
滤 每 个 特定 的 地 址 和 协议 ， 那 么 我 们 就 不 希望 流量 穿 过 整个 网 络 后 再 被 拒绝 。 通 过 将 这 样 的 
列表 放置 在 尽量 靠近 源 地 址 的 位 置 ， 可 以 在 它 使 用 有 限 的 带宽 之 前 过 滤 掉 此 流量 。 


El 


1. 路 由 器 的 访问 控制 列表 的 作用 是 > 
A. 访问 控制 列表 可 以 监控 交换 的 字 节 数 B. 访问 控制 列表 提供 路 由 过 滤 功 能 
C. 访问 控制 列表 可 以 检测 网 络 病毒 D. 访问 控制 列表 可 以 提高 网 络 的 利用 率 
2. 以 下 的 访问 控制 列表 中 ， 禁止 所 有 Telnet 访问 子 网 10.10.1.0/24。 
A. access-list 15 deny telnet any 10.10.1.0 0.0.0.255 eq 23 
B. access-list 1 15 deny udp any 10.10.1.0 eq telnet 
C. access-list 115 deny tcp any 10.10.1.0 0.0.0.255 eq 23 
D. access-list 15 deny udp any 10.10.1.0 255.255.255.0 eq 23 
3. IP 地 址 和 反 转 掩 码 可 以 用 来 阻 断 来 自 192.168.16.43/28 网 段 的 流量 。 
. 192.168.16.32 0.0.0.16 
. 192.168.16.43 0.0.0.212 
. 192.168.16.0 0.0.0.15 
. 192.168.16.32 0.0.0.15 
. 192.168.16.0 0.0.0.31 
. 192.168.16.16 0.0.0.31 
4. 一 个 标准 访问 控制 列表 应 用 到 路 由 器 的 一 个 以 太 网 接口 ， 该 标准 访问 控制 列表 能 够 
基于 ”来 过 滤 流 量 。 
. 源 地 址 和 目标 地 址 
. 目标 端口 
目标 地 址 
源 地 址 
以 上 所 有 


wm > 


MONnm> 
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5. 河北 师 大 软件 学 院 某 个 子 网 使 用 29 位 的 子 网 掩 码 ， 在 配置 扩展 访问 控制 列表 时 如 何 
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允许 或 拒绝 整个 子 网 ? 

A. 255.255.255.224 

B. 255.255.255.248 
C. 0.0.0.224 

D. 0.0.0.8 

E. 0.0.0.7 

F. 0.0.0.3 


6. 假若 你 是 石家庄 飞 烨 科技 公司 的 网 络 管理 员 ， 你 正 打算 使 用 访问 控制 列表 到 路 
的 一 个 接口 ， 命令 可 以 达到 目的 。 


A. permit access-list 101 out 


. ip access-group 101 out 
. apply access-list 101 out 


是 TH 


. access-class 101 out 


E. ipaccess-list e0 out 


7. 石家庄 新 迈 科技 公司 网 络 拓扑 如 图 8-8 所 示 。 你 是 公司 的 系统 管理 员 ， 在 TK1 路 由 


器 上 ， 你 定义 了 以 下 访问 控制 列表 。 
Access-list 101 deny tcp 5.1.1.10 0.0.0.0 5.1.3.0 0.0.0.255 eq telnet 
Access-list 101 permit ip any any 


TK3 


Ethernet 0 


Ey [ry 


最 5.1.3.8/24 5.1.3.10/24 


5.1.2.10/24 5.1.2.20/24 
5.1.1.8/24 5.1.1.10/24 


A 图 8-8 网 络 拓扑 

你 将 该 访问 控制 列表 绑 定 到 TK1 的 Ethemet 0 接口 ，ip access-group 101 in， 
会 被 访问 控制 列表 阻 断 。 

A. 从 主机 A 访问 主机 5.1.1.10 的 Telnet 会 话 
.从 主机 A 访问 主机 5.1.3.10 的 Telnet 会话 
.从 主机 B 访问 主机 5.1.2.10 的 Telnet 会 话 
. 从 主机 B 访问 主机 5.1.3.8 的 Telnet 会话 
. 从 主机 C 访 问 主机 5.1.3.10 的 Telnet 会 话 


eH 


一 将 


8. 


10. 


在 路 由 器 的 串口 ， 一 个 入 站 的 访问 控制 列表 配置 拒绝 TCP 端口 21、 23 和 25， 所 有 
的 其 他 流量 允许 。 基 于 这 个 信息 ， 类 型 的 流量 将 会 被 允许 通过 该 接口 。( 选 择 3 
个 

A，SMTP 

B. DNS 
C. FTP 
D. Telnet 
E. HTTP 
F. POP3 


l 命令 可 以 将 一 个 访问 控制 列表 绑 定 到 路 由 器 的 VTY 接口 。 


. RouterTK (config-line) # access-class 10 in 

. RouterTK (config-if) # ip access-class 23 out 

. RouterTK (config-line ) # access-list 150 in 

. RouterTK (config-if) # ip access-list 128 out 
RouterTK (config-line) # access-group 15 out 
RouterTK (config-if) # ip access-group 110 in 
实施 访问 控制 列表 通常 的 指导 方针 是 了 
.应 该 放置 标准 访问 控制 列表 尽 可 能 靠近 源 网 络 . 
.应 该 放置 扩展 访问 控制 列表 尽 可 能 接近 源 网 络 

.应 该 放置 标准 访问 控制 列表 尽 可 能 接近 目标 网 络 
.应 该 放置 扩展 访问 控制 列表 尽 可 能 接近 目标 网 络 
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ss Translation，NAT)、 动 态 NAT 和 端口 地 址 
会 介绍 NAT、PAT 和 端口 映射 的 


转换 (Port Address Translation，PAT)，PAT 也 称 为 复 用 ; 
应 用 场景 以 及 配置 方法 。 

同时 也 演示 了 使 用 Windows XP 配置 连接 
2003 上 配置 NAT 和 端口 映射 。 
本 章 主要 内 容 : 


和 NAT 和 端口 映射 ,在 Windows Server 
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1 网 络 地 址 转换 技术 简介 


下 面 介绍 NAT 的 使 用 场景 、NAT 的 优 缺 点 以 及 NAT 的 三 种 类 型 。 
9.1.1 NAT 的 应 用 场景 


NAT 的 最 初 目的 是 允许 将 私有 了 他 地 址 映射 到 公 网 (合法 的 Intemet IP 地 址 ) 地 址 的 ， 
以 减缓 全 地 址 空间 的 消耗 。 

当 一 个 组 织 更 换 它 的 互联 网 服务 提供 商 〈Jnternet Service Provider，ISP)， 比 如 从 网 通 
更 改 为 电信 ， 如 果 不 想 更 改 内 网 配置 方案 时 ，NAT 同样 很 有 用 途 。 

以 下 是 符合 使 用 NAT 的 各 种 情况 。 

= ”需要 连接 Intemet， 但 是 你 的 主机 没有 公 网 卫 地 址 。 

" ”更 换 了 一 个 新 的 ISP， 需 要 重新 组 织 网 络 。 

" ”需要 合并 两 个 具有 相同 网 络 地 址 的 内 网 。 

NAT 一 般 应 用 在 边界 路 由 器 中 ， 比 如 公司 连接 Intemet 的 路 由 器 上 。NAT 的 优 缺 点 如 
表 9-1 所 示 。 

表 9-1 NAT 的 优点 和 缺点 


优 点 缺 点 
节约 合法 的 公 网 他 地址 地 址 转换 产生 交换 延迟 ， 也 就 是 消耗 路 由 器 性 能 
减少 地 址 重 芝 出现 无 法 进行 端 到 端的 下 跟踪 
增加 连接 Internet 的 灵活 性 某 些 应 用 无 法 在 NAT 的 网 络 中 运行 
增加 内 网 的 安全 性 


NAT 最 显著 的 优点 是 节约 你 的 合法 公 网 他 地 址 ， 正 是 因为 这 个 原因 我 们 到 现在 还 能 
使 用 IPv4， 和 否则 早已 升级 到 IPv6 了 。 


9.1.2 NAT 的 类 型 


下 面 介 绍 NAT 的 三 种 类 型 : 静态 NAT、 动 态 NAT 和 PAT。 

" ”静态 NAT: 这 种 类 型 的 NAT 是 为 了 在 本 地 和 全 球 地 址 间 允 许 一 对 一 映射 而 设计 的 。 
需要 记 住 的 是 ,静态 NAT 需要 网 络 中 的 每 台 主机 都 拥有 一 个 真实 的 因特网 他 地 址 ， 
多 用 于 公 网 地 址 到 内 网 主机 的 端口 映射 。 

”动态 NAT: 这 种 类 型 的 NAT 可 以 实现 映射 一 个 未 注册 下 地 址 到 注册 卫 地 址 池 中 
的 一 个 注册 中 地址。 你 不 必 像 使 用 静态 NAT 那样 ,在 路 由 器 上 静态 映射 内 部 到 外 
部 的 地 址 , 但 是 你 必须 保证 拥有 足够 的 真实 卫 , 保证 每 个 在 因特网 中 收发 包 的 用 户 
都 有 真实 的 他 可 用 。 

= ”PAT: 这 是 最 流行 的 NAT 配置 类 型 。 PAT 实际 上 是 动态 NAT 的 一 种 形式 ， 它 映射 


多 个 私 网 他 地 址 到 一 个 公 网 瑟 地 址 ， 通 过 使 用 不 同 的 端口 来 区 分 内 网 主机 ， 也 被 
称 为 复 用 。 通 过 使 用 PAT， 可 实现 上 千 个 用 户 仅 通过 一 个 真实 的 全 球 全 地 址 连接 
到 Intemet。 使 用 复 用 是 我 们 至 今 在 互联 网 上 没有 使 用 完 合法 人 P 地 址 的 真实 原因 。 
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下 面 介绍 各 种 类 型 网 络 地 址 转换 的 实现 过 程 ， 以 及 配置 步骤 。 


9.2.1 配置 静态 NAT 


这 种 类 型 的 NAT 是 为 了 在 本 地 和 全 球 地 址 间 人 允许 一 对 一 映射 而 设计 的 。 需 要 记 住 的 
是 ， 静 态 NAT 需要 网 络 中 的 每 台 主机 都 拥有 一 个 真实 的 因特网 人 地址 ， 多 用 于 公 网 地 址 
到 内 网 主机 的 端口 映射 。 

打开 随 书 光盘 中 第 9 章 练习 “01 配置 静态 NAT.pkt”， 网 络 拓扑 如 图 9-1 所 示 。 网 络 中 
的 计算 机 和 路 由 器 已 经 配置 好 了 IP 地址 和 路 由 表 ， 企 业内 网 使 用 私有 IP 地 址 10.0.0.0/24， 
CPE 是 连接 Internet 和 内 网 的 边界 路 由 器 ， 你 需要 在 CPE 上 配置 静态 NAT， 使 内 网 的 计算 
机 能 够 访问 Internet，Intemet 也 能 访问 内 网 的 计算 机 。 


静态 NAT 实 验 环境 


202. 99, 180, 1/24 
202. 99. 160. 0/24 


131. 407.0.0/24 131.107.0.254/24 


Serial O/0 


2950-24 Wa 


2621XM 
26b1XM Serid Oo/0 18p 


Server-PT 


Inside Server 
10.0.0.0124 202.99.160.2124 


Internet 


内 网 公 网 IP 地 址 
私有 地 址 


202. 99. 180. 3/24 


A 图 9-1 静态 NAT 实验 环境 
在 路 由 器 CPE 上 配置 静态 NAT 映射 。 
a 内 网 计算 机 PC0 的 私 网 地 址 10.0.0.2 使 用 公 网 地 址 131.107.0.2 地 址 。 
a ”内 网 计算 机 PC1 的 私 网 地 址 10.0.0.3 使 用 公 网 地 址 131.107.0.3 地 址 。 
a ”内 网 计算 机 PC2 的 私 网 地 址 10.0.0.4 使 用 公 网 地 址 131.107.0.4 地 址 。 
a ”内 网 计算 机 PC3 的 私 网 地 址 10.0.0.5 使 用 公 网 地 址 131.107.0.5 地 址 。 
a ”内 网 计算 机 WebServer 的 私 网 地 址 10.0.0.6 使 用 公 网 地 址 131.107.0.6 地 址 。 
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如 图 9-2 所 示 ， 是 配置 了 静态 映射 路 由 器 ， 数 据 包 传输 过 程 中 的 数据 包 转换 。 
静态 映射 


10.0.0.2|131.107.0.2 
10.0.0.3|131.107.0.3 
10.0.0.4|131.107.0.4 
10.0.0.5|131.107.0.5 
10.0.0.6|131.107.0.6 


PC0 访 问 Server2 NAT ae 源 地 址 被 苦 换 
i [202-59-160-[- 束 锯 ] 
202-99-150- 相 数 锯 了] cPE -9.160- |- 妆 据 
目标 地 址 被 换 Server2 返 回 的 数据 包 


全 图 9-2 静态 NAT 映射 数据 包 转换 过 程 
配置 了 静态 映射 后 ，PC0 访问 Intemet 的 Server， 数 据 包 经 过 CPE 路 由 器 ， 根 据 配置 


的 静态 映射 ， 数 据 包 的 源 地 址 被 131.107.0.2 地 址 替换 。 


Server 向 131.107.0.2 发 送 返回 的 数据 包 ， 在 进入 内 网 时 ， 根 据 配置 的 静态 映射 表 ， 将 


会 使 用 PC0 的 瑟 地 址 替换 数据 包 的 目标 地 址 。 


配置 静态 映射 的 步骤 如 下 。 
(1) 验证 配置 静态 映射 前 内 网 的 计算 机 不 能 和 Intenret 上 的 计算 机 通信 。PCO0 ping 
202.99.160.2 不 通 。 
(2) 在 CPE 上 配置 静态 NAT 映射 。 
CPE>en 
CPE#config 七 


CPE (config) #ip NAT inside source static 10.0.0.2 131.107.0.2 
CPE (config) #ip NAT inside source static 10.0.0.3 131.107.0.3 
CPE (config) #ip NAT inside source static 10.0.0.4 131.107.0.4 
CPE (config) #ip NAT inside source static 10.0.0.5 131.107.0.5 
CPE (config) #ip NAT inside source static 10.0.0.6 131.107.0.6 


CPE (config) #interface fastEthernet 0/1 
CPE (config-if) #ip NAT inside 一 -指定 该 接口 为 NAT 的 内 网 接口 
CPE (config-if) #ex 
CPE (config) #int 
CPE (config) #interface Serial 0/0 
CPE (config-if) #ip NAT outside 一 -指定 该 接口 为 NAT 的 外 网 接口 
CPE (config-if) #ex 
CPE#debug ip NAT 一 -让 路 由 器 显示 NAT 信息 

(3) 验证 配置 了 静态 映射 后 ， 内 网 计算 机 能 够 访问 Internet。PC0 ping 202.99.160.2 能 

够 通 。 
(4) 在 CPE 路 由 器 上 的 显示 如 下 。 
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NAT EE 
CPE# 

NAT: s=10.0.0.2->131.107.0.2, d=202.99.160.2 [1] 

NAT*: s=202.99.160.2, d=131.107.0.2->10.0.0.2 [1] 

(5) 配置 了 静态 映射 后 ，Intemet 上 RJ com 


的 计算 机 通过 访问 131.107.0.6 Bhsiea [Econfigs] oestte | 
能 够 访问 内 网 的 WebServer 的 i 
Web 站 点 ， 如 图 9-3 所 示 。 = isco Packet Tracer 


9.2.2 配置 动态 NAT 


全 图 9-3 验证 静态 映射 


这 种 类 型 的 NAT 可 以 实现 映射 一 个 未 注册 下 地址 到 注册 卫 地 址 池 中 的 一 个 注册 下 
地 址 。 你 不 必 像 使 用 静态 NAT 那样 , 在 路 由 器 上 静态 映射 内 部 到 外 部 的 地 址 , 但 是 你 必须 
保证 拥有 足够 的 真实 卫 ， 保 证 每 个 在 因特网 中 收发 包 的 用 户 都 有 真实 的 卫 可 用 。 

打开 随 书 光盘 第 9 章 练习 “02 动态 NAT.pkt”， 网 络 拓扑 如 图 9-4 所 示 ， 网 络 中 的 计算 
机 和 路 由 器 已 经 配置 好 了 人 P 地 址 和 路 由 表 ， 企 业内 网 使 用 私有 卫 地 址 10.0.0.0/24，CPE 
是 连接 Intemet 和 内 网 的 边界 路 由 器 ， 你 需要 在 CPE 上 配置 动态 NAT， 使 内 网 的 计算 机 能 
够 访问 Intemet。 注 意 ， 动 态 NAT，Intemet 上 的 计算 机 不 能 访问 内 网 上 的 计算 机 。 


动态 NAT 实 验 环境 


202. 99. 160. 1/24 
131.107.0.0/24 。 131.107.0.254/24 


Serial 010 
2950-24 ro 三/ 本 sia om 0 
Inside 

10.0.0.0/24 


Server-PT 


Server 
202.99.160.2/24 


Internet 


内 网 公 网 IP 地 址 
私有 地 址 


全 图 9-4 动态 NAT 实验 环境 
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如 图 9-5 所 示 ， 本 实验 外 网 地 址 有 3 个 地 址 ， 内 网 有 5 台 计 算 机 ， 配 置 为 动态 映射 ， 


只 有 3 个 内 网 的 计算 机 能 够 做 地 址 转换 。 也 就 是 内 网 的 计算 机 同时 只 能 有 3 台 计 算 机 访问 
Internet。( 这 可 是 我 故意 这 样 设计 的 ) 


进行 


配置 动态 NAT 的 步骤 如 下 。 
(1) 在 CPE 上 配置 动态 NAT。 
CPE#config 七 
CPE (config) #access-list 10 permit 10.0.0.0 0.0.0.255 
定义 访问 控制 列表 ， 如 果 内 网 有 多 个 网 段 需要 NAT， 则 需要 在 ACL 中 都 添加 上 
CPE (config) #ip NAT pool todd 131.107.0.1 131.107.0.3 netmask 255.255.255.0 
todd 是 地 址 池 的 名 字 ， 可 以 任意 指定 ， 指 定 公 网 地 址 池 的 开始 地 址 和 结束 地 址 ， 以 及 
子 网 掩 码 , 地 址 池 只 有 3 个 地 址 , 也 就 是 说 只 允许 内 网 的 3 个 计算 机 能 够 访问 Intemet。 


CPE (config) #ip NAT inside source list 10 pool todd ”-- 地 址 池 和 访问 控制 列表 
关联 

CPE (config) #interface Serial 0/0 

CPE (config-if) #ip NAT outside 一- 指定 NAT 的 外 网 接口 


CPE (config-if) #ex 

CPE (config) #interface fastEthernet 0/1 

CPE (config-if) #ip NAT inside 一 -指定 NAT 的 内 网 接口 

(2) 在 CPE 上 查看 NAT 配置 的 状态 。 

CPE#show ip NAT statistics 

Total translations: 0 (0 static, 0 dynamic, 0 extended) 

Outside Interfaces: Serial0/0 

Inside Interfaces: fastEthernet0/1 

Hits: 13 Misses: 20 

Expired translations: 13 

Dynamic mappings: -动态 映射 

-- Inside Source 

access-list 10 pool todd refCount 0 

pool todd: netmask 255.255.255.0 
stbart L310 0 ond LaLal0T0:3 
type generic, total addresses 3 , allocated 0 (0%) , misses 3 

(3) 使 用 PC0 访问 Server 的 Web 站 点 , 用 PC1、PC2 和 PC3 ping Server。 将 发 现 PC0 
能 够 访问 Server 的 Web 站 点 , PC1 和 PC2 能 够 ping 通 Server, PC3 却 不 能 ping 
通 Server。 那 是 因为 地 址 池 仅 3 个 地 址 ， 只 允许 三 个 内 网 的 主机 访问 外 网 。 

(4) 查看 NAT 地 址 转换 信息 。 


CPE#show ip NAT translations 
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Pro Inside global Inside local Outside local Outside global 
Tem 31. 107.052:5 ODSOES O02 001160835 2 
icmp 131.107.0.2:6 0 ph a 202 .99 T6053:6 
cp T1311.107:051:1025” 10>0:0:2*:1025 202.99.160.2:80 202:99.160.2:80. 
ep 131.107.:0.1:1026, 10:0:0:2:1026 202.99.160.2580 202.99.160.2:80 
ep TLIO0T .0-1027 9 T000231027 202.99.160.2:80 202.99.160.2:80 


(5) 清除 转换 表 中 的 NAT 条 目 。 
CPE#clear ip NAT translation * 
(6) PC3 ping Server， 能 通 。 


使 用 动态 NAT 技术 ， 如 果 地 址 池 的 人 P 地 址 做 映射 用 完了 ， 剩 余 的 内 网 的 计 


算 机 将 不 能 再 访问 外 网 。 


9.2.3 配置 PAT 


这 是 最 流行 的 NAT 配置 类 型 。PAT 实际 上 是 动态 NAT 的 一 种 形式 ， 它 映射 多 个 私 网 
IP 地 址 到 一 个 公 网 他 地 址 ， 通 过 使 用 不 同 的 端口 来 区 分 内 网 主机 ， 也 被 称 为 复 用 。 通 过 
使 用 PAT， 可 实现 上 千 个 用 户 仅 通过 一 个 真实 的 全 球 卫 地 址 连接 到 Intermet。 使 用 复 用 是 
我 们 至 今 在 互联 网 上 没有 使 用 完 合法 了 P 地 址 的 真实 原因 。 

打开 随 书 光盘 中 第 9 章 练习 “03 PATpkt”， 网 络 拓扑 如 图 9-5 所 示 ， 网 络 中 的 计算 机 
和 路 由 器 已 经 配置 好 了 IP 地 址 和 路 由 表 ， 企 业内 网 使 用 私有 也 地址 10.0.0.0/24，CPE 是 
连接 Internet 和 内 网 的 边界 路 由 器 ， 你 需要 在 CPE 上 配置 PAT， 使 内 网 的 计算 机 能 够 访问 
Internet。 注 意 ，PAT，Internet 上 的 计算 机 不 能 访问 内 网 计算 机 。 


PAT 实 验 环境 


202 99.160 1/24 
134.407. 0.0124 131.107.0.254/24 


02.99.160.0124 


sea 
2 Ta 2 


server-PT 
Server 
202.99.160 2/24 


10.0.0.0/24 


Internet 


公 网 IP 地 址 


内 网 
私有 地 址 


5 
202.99. 180. 3/24 


全 图 9-5 PAT 实验 环境 
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如 图 9-6 所 示 ，PC0 访问 Intemet 上 的 Server 的 Web 站 点 ， 源 端口 可 能 是 1723，PC1 
访问 Intemet 上 的 Server 的 Web 站 点 ， 源 端口 也 可 能 是 1723， 如 果 数 据 包 只 做 地 址 转换 ， 
返回 的 数据 包 目 标 地 址 都 是 131.107.0.1、 目 标 端 口 都 是 1723， 路 由 器 就 没有 办 法 确定 这 个 
数据 包 应 该 发 送 给 PC0 还 是 PC1。 因 此 如 果 使 用 一 个 公 网 人 P 地 址 让 很 多 内 网 计算 机 访问 
Internet， 必 须 由 路 由 器 对 访问 Internet 的 数据 包 进行 统一 的 源 端 口 蔡 换 ， 如 图 9-6 所 示 ， 
使 用 不 同 的 源 端口 进行 蔡 换 ， 这 样 路 由 器 就 可 以 根据 返回 的 数据 包 目 标 端口 确定 数据 包 应 
该 转发 给 哪 一 个 内 网 的 计算 机 。 


| 协议 | 内 网 地 址 和 端口 外 网 地 址 和 端口 [ereritt 和 端口 
pco 访 问 server| Tcp | 10.0.0.2:1723 131.107.0.1:4000 | 202.99.160.2:80 
Pcl 访问 sever| TCP 10.0.0.3:1723 131.107.0.1:4001 | 202.99.160.2:80 
PCc2 访 问 server| TCP 10.0.0.4:1723 131.107.0.1:4002 | 202.99.160.2:80 
pc3 访 问 server | TcP | 10.0.0.5:1723 131.107.0.1:4003 | 202.99.160.2:80 


| 


PAT 
10.0.0.2:1723| 202.99.160.2:80 -ED 131.107.0.1:4000| 202.99.160.2:80 


Se0i0 


了 a0/1 
CPE 
202.99.160.2:80 131.107.0.1:4000| 202.99.160.2:80 


从 图 9-6 源 端 口 蔡 换 


| 


配置 PAT 的 步骤 如 下 。 
(1) 在 CPE 上 配置 PAT。 
CPE#config 七 
CPE (config) #access-list 10 permit 10.0.0.0 0.0.0.255 
CPE (config) #ip NAT pool todd 131.107.0.1 131.107.0.1 netmask 255.255.255.0 
一 -前 后 两 个 地 址 一 样 ， 因 为 就 一 个 公 网 地 址 
CPE (config) #ip NAT inside source list 10 pool todd overload 
--over1load 参数 将 会 启用 PAT 
CPE (config) #interface Serial 0/0 
CPE (config-if) #ip NAT outside -- 指 定 NAT 的 外 网 接口 
CPE (config-if) #ex 
CPE (config) #interface fastEthernet 0/1 
CPE (config-if) #ip NAT inside 一 -指定 NAT 的 内 网 接口 
(2) 使 用 PC0、PC1、PC2、PC3 和 WebServer ping Internet 上 的 Server， 都 能 通 。 


9.2.4 配置 端口 映射 


端口 映射 是 应 用 非常 广泛 的 技术 ， 很 多 单位 只 有 一 个 公 网 人 P 地 址 ， 通 过 配置 PAT 多 
许 内 网 的 计算 机 使 用 这 个 公 网 耳 地 址 访问 Intemet， 同 时 还 可 以 配置 静态 的 端口 映射 ， 使 
282 


第 9 章 


NAT IE 


得 Intemet 上 的 用 户 访问 内 网 的 服务 器 。 比 如 下 面 的 实验 ， 内 网 有 两 个 Web 服务 器 ， 可 以 
将 公 网 地 址 131.107.0.1 的 TCP 协议 80 端口 映射 到 内 网 的 WebServerl , 将 公 网 地 址 131.107. 
0.1 的 TCP 协议 81 端口 映射 到 内 网 的 WebServer2。 通 过 将 公 网 地 址 的 TCP 的 25 端口 和 
TCP 的 110 端口 映射 到 内 网 的 邮件 服务 ， 可 以 使 Intemet 用 户 访问 内 网 的 邮件 服务 器 。 

打开 随 书 光盘 中 第 9 章 练习 “04 端口 映射 pkt”， 网 络 拓扑 如 图 9-7 所 示 ， 网 络 中 的 路 
由 器 和 计算 机 已 经 配置 好 了 IP 地址， 你 需要 在 CPE 路 由 器 上 配置 端口 映射 ， 使 Internet 
上 的 用 户 能 够 访问 内 网 的 MailServer、WebServerl 和 WebServer2 。 


202. 99, 160, 1/24 
202. 99, 160. 0/24 


131.107.0.0/24 131.107.0.254/24 


131, 107.0. 1/24 


Serial 0/0 


2621XM 
ISP 


2950-24 To/ 
Inside 
10.0.0.0/24 


89. 160. 2/24 
Internet 


202. 99. 160. 3/24 


全 图 9-7 配置 静态 端口 映射 

配置 端口 映射 的 步骤 如 下 。 

(1) 在 CPE 上 配置 静态 端口 映射 。 

CPE>en 

CPE#config 七 
CPE (config) #ip NAT inside source static tcp 10.0.0.5 80 131.107.0.1 80 
CPE (config) #ip NAT inside source static tcp 10.0.0.6 80 131.107.0.1 81 
CPE (config) #ip NAT inside source static tcp 10.0.0.4 25 131.107.0.1 25 
CPE (config) #ip NAT inside source static tcp 10.0.0.4 110 131.107.0.1 110 
CPE (config) #interface fastEthernet 0/1 
CPE (config-if) #ip NAT inside 
CPE (config-if) #ex 
CPE (config) #interface Serial 0/0 
CPE (config-if) #ip NAT outside 

(2) 在 Intemet 的 计算 机 PC5 上 测试 端口 映射 ， 注 意 访 问 的 公 网 地 址 131.107.0.1 的 

不 同 端口 ， 如 图 9-8 和 图 9-9 所 示 。 
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re EE [ee a 
| physica | confa Desktop 
Web BrowseT 
加 > | URL http://131.107.0.1 < | [> | URL http://131.107.0,1:81 
Cisco Pack Cisco Pack 

Welcome to Cisco Packet Tracer. Npening doors to Welcome to Cisco Facket Tracer. Dpening doors to 
| Quick Links Quick Links: 
| | WebServerl 访问 的 是 WenServer1 的 网 站 | | WebServer2 一 一 WebServer2 的 网 站 

Copyrights Copyrights 

Inage page Inage page 

Inage Inage 

= 
全 图 9-8 访问 内 网 网 站 1 全 图 9-9 访问 内 网 网 站 2 


(3) 按照 图 9-10 所 示 ， 配 置 邮件 客户 端 ， 密 码 为 password1!， 注 意 收发 电子 邮件 服 
务 器 都 是 131.107.0.1， 保 存 配置 。 
(4) 如 图 9-11 所 示 ， 给 自己 发 一 封 电 子 邮 件 。 


YET 


Rc 一 一 一 --- Ed 
Eeea | Conha Desxtop ] 


Yo Fane pr 


si Nie diet et Eo zhangltest. net 中 
| 
ee Subject: zhang to zhang 


aconing Nesl server 131.107 0 1 


Datesine il Surver 131I07 DT test Mail 


Ten Trfomation 


er as Er 


Passvord: | 
Sn. eset 
全 图 9-10 配置 邮件 客户 端 全 图 9-11 发 送 电 子 邮 件 


(5) 如 图 9-12 所 示 ， 单 击 Receive ee | 
| Physical | Config | Desxtop 


按钮 ， 能 够 收 到 邮件 。 
以 上 实验 证 明 端 口 映射 成 功 。 | EE 


] CEaaeseeaa 


Eeeved 
局 四 十 -月 1820L- 


全 图 9-12 收 到 电子 邮件 


3 在 Windows 上 实现 网 络 地 址 转换 和 端口 映射 


在 Windows 中 网 络 地 址 转换 就 是 前 面 介绍 的 PAT 的 概念 ， 特 此 说 明 。 

Windows XP 或 Windows Server 2003 也 能 够 实现 PAT 和 端口 映射 ， 并 且 这 种 应 用 在 规 
模 较 小 的 企业 中 会 经 常用 得 到 .下 面 将 为 大 家 介绍 在 Windows XP 上 配置 Intemet 连接 共享 
实现 的 PAT 和 端口 映射 以 及 Windows Server 2003 上 实现 的 网 络 地 址 转换 和 端口 映射 。 


9.3.1 在 Windows XP 上 配置 连接 共享 和 端口 映射 


如 图 9-13 所 示 ， 一 个 小 的 公司 使 用 安装 Windows XP 操作 系统 的 ADSL 拨号 访问 
Internet。 该 主机 还 有 一 个 网 卡 连接 内 网 的 交换 机 ， 内 网 的 计算 机 需要 通过 Windows XP 访 
问 Intermet。 这 就 需要 在 Windows XP 上 将 ADSL 拨号 的 连接 共享 给 内 网 计算 机 ， 同 时 你 也 
可 将 内 网 的 Web 服务 器 通过 端口 映射 允许 Intemet 用 户 访问 。 


/ 


Internet 
Windows XP 


PB 
ADSL 
202.99.13.12 


企业 内 部 网 络 


Web 
10.0.0.10 


已 


全 图 9-13 配置 连接 共享 
1. 在 Windows XP 上 配置 Internet 连接 共享 的 步骤 
(1) 选择 “开始 ”了 “设置 ”>“ 网 络 连接 ”命令 ， 选 中 ADSL 拨号 建立 的 连接 ， 右 
击 ， 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 。 
(2) 如 图 9-14 所 示 ， 在 出 现 的 “ADSL 属性 ”对 话 框 的 “高 级 ”选项 卡 中 选中 “多 
许 其 他 网 络 用 户 通 过 此 计算 机 的 Intemet 连接 来 连接 ” 复 选 框 。 


如 果 你 的 计算 机 只 一 个 本 地 连接 ， 不 会 出 现 “Internet 连接 共享 ”选项 组 ， 你 


可 以 禁用 一 个 网 卡 试 试 ， 如 图 9-15 所 示 。 
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[1 
imams 六 类 夫 
ep et A 
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1 ee 
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Pn, en a 
LE3 LI 


全 图 9-14 启用 连接 共享 全 图 9-15 没有 了 “Internet 连接 共享 ”选项 组 
(3) 如 图 9-16 所 示 ， 单 击 “ 确 定 ”按钮 ， 会 出 现 提示 对 话 框 ， 提 示 将 LAN 连接 的 人 Pp 
地 址 配置 成 192.168.0.1。 单 击 “ 是 ” 完成 连接 共享 。 


你 再 把 连接 内 网 的 连接 人 P 地 址 更 改 为 10.0.0.1。 注 意 ， 内 网 的 连接 不 设置 网 关 。 


Ww et 
EI Ce 


全 图 9-16 提示 
(4) 如 图 9-17 所 示 ， 再 看 连接 共享 的 图 标 ， 已 经 有 了 使 用 共享 的 图 标 标识 ， 相 当 于 
在 路 由 器 的 外 网 网 卡 上 运行 了 ip NAT outside 命令 。 


文件 EE) 编辑 EE) 查看 收 蕊 人) 工具 CD) 高 级 咯 帮助 0D 


四 鲁 -四 -让 用 由 防 z#x 国 - 
地 址 中) 全 网 络 连 按 
全 “LAN 或 高 速 Internet 


创建 一 个 新 的 连接 


有 训 Ree4 型 办 公 


更改 Windows 防火 
© Bs 


相关 主题 
JR 网络 感 难 解答 程序 


全 图 9-17 查看 共享 图 标 


在 Windows XP 上 配置 PAT 就 这 么 简单 。 
2. 配置 端口 映射 的 步骤 


(1) 如 图 9-18 所 示 ， 打 开 “ADSL 属性 ”对 话 框 ， 在 “高 级 ”选项 卡 中 ， 
置 ” 按 钮 。 


区 
外 
-IT 
注 


加 


wr 


LAN 或 高 速 Internet 
最 | 坚 s: 车 | 3 本 | [可 | 1 

Ce Tee te a Yindors 防火 寺 
于 可 直人 A 访问 此 计 


Internet 连接 共享 


回 区 地 网 络 用 户 控制 于 羔 用 共享 的 Internet 连 


了 解 Itsrnat 连接 共享 的 更 多 信息 。 。 [ 设 杆 CD) ] 


全 图 9-18 “ADSL 属性 ”对 话 框 
(2) 如 图 9-19 所 示 ， 在 出 现 的 “高 级 设置 ”对 话 框 中 ， 选 中 “Web 服务 器 (HTTP)” 
(3) 如 图 9-20 所 示 ， 在 出 现 的 “服务 设置 ”对 话 框 中 ， 输 入 内 网 Web 服务 器 的 他 
地 址 ， 单 击 “ 确 定 ” 按 钮 。 


te CE 


es 上 主持 此 服务 的 计算 机 的 名 称 或 IF 地 
192. 168.0.12): 
10.0.0.10 


此 腿 务 的 外 部 端口 号 到 ) 


此 服务 的 内 部 请 口号 GD) ; 


全 图 9-19 配置 Web 服务 器 端口 映射 全 图 9-20 指定 内 网 Web 服务 器 地 址 
端口 映射 完成 。 在 Windows XP 上 配置 端口 映射 也 很 简单 。 


9.3.2 在 Windows Server 2003 上 配置 网 络 地 址 转换 和 端口 映射 

在 Windows Server 2003 上 可 以 配置 Intemet 连接 共享 实现 PAT 和 端口 映射 , 还 可 以 使 
用 路 由 和 远程 访问 配置 网 络 地 址 转换 和 端口 映射 实现 PAT 和 端口 映射 。 

1. 配置 网 络 地 址 转换 


(1) 选择 “开始 ”>“ 程 序 ” 福 “管理 工具 ”他 “ 路 由 和 远程 访问 ”命令 。 
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(2) 如 图 9-21 所 示 ， 在 出 现 的 “路 由 和 远程 访问 ”窗口 中 ， 右 击 服务 器 ， 在 弹出 的 
快捷 菜单 中 选择 “配置 并 启用 路 由 和 远程 访问 ”命令 。 

(3) 在 出 现 的 “欢迎 使 用 路 由 和 远程 访问 服务 器 安装 向 导 ” 对 话 框 中 , 单 击 “ 下 一 步 ” 
按钮 。 

(4) 如 图 9-22 所 示 ， 在 出 现 的 “配置 ”设置 界面 中 ， 选 中 “网 络 地 址 转换 (NAT)” 

单 选 按 钮 ， 单 击 “ 下 一 步 ”按钮 。 


p 远 程 访问 ， 部 署 方案 ， 以 及 
信息 ， 请 地 阅 攻 助 。 


全 图 9-21 配置 并 启用 路 由 和 远程 访问 全 图 9-22 “配置 ”设置 界面 


(5) 如 图 9-23 所 示 ， 在 出 现 的 “NAT Intemet 连接 ”设置 界面 中 ， 选 中 “使 用 此 公共 
接口 连接 到 Intemet” 单 选 按 钮 ， 单 击 “ 下 一 步 ” 按 钮 。 

(6) 如 图 9-24 所 示 ， 在 出 现 的 “名 称 和 地 址 转换 服务 ”设置 界面 中 ， 保 持 默 认 选 项 ， 单 
击 “ 下 一 步 ” 按 钮 。 该 服务 器 可 以 为 内 网 计算 机 分 配 他 地址 和 提供 域名 解析 服务 。 


| ERERTTEEEETTE 


了 AT Internet 连接 = 
[i 或 关 为 客户 端 计 算 机 全 建 一 个 新 的 请 求 技 号 。 局) 用 


四 ERIC 


全 图 9-23 “NAT Internet 连接 ”设置 界面 全 图 9-24 “名 称 和 地 址 转换 服务 ”设置 界面 

(7) 如 图 9-25 所 示 ， 在 出 现 的 “地 址 指派 范围 ”设置 界面 中 ， 单 击 “ 下 一 步 ” 按 钮 。 

(8) 如 图 9-26 所 示 ， 在 出 现 的 “正在 完成 路 由 和 远程 访问 服务 器 安装 向 导 ” 界 面 中 ， 
单 击 “ 完 成 ”按钮 。 


EREERTTEEEEEE 
地 址 指派 范围 


ETIEERETEEEEEB 


和 ndovs 为 的 同 络 定义 了 一 个 地 址 苍 围 。 区 正在 完成 路 由 和 远程 访问 服务 器 安装 向 导 
人 已 成 功 完成 路 自 和 远程 访问 服务 器 安装 向 导 。 
et 
网 络 地 址 :10.0.0.0 esd 
网 络 撞 码 ; 255.255.255. 0 
其 机 坟 用时 起， 相 围 ,这 可 以 通过 在 泪 二 地 网 络 上 的 窜 户 请 格 被 指 定 下 列 范围 内 的 I 
= [RS 地 直 : + 网 对 术 码 
ee 如果 弥 有 出 此 记 导 ， 定 X 间 Er 村 2 ee 回 
各 可, A 
svn ww | so | 9 
全 图 9-25 “地 址 指派 范围 ”设置 界面 全 图 9-26 完成 网 络 地 址 转换 配置 
让 HI ox 
2. 配置 端口 映射 ER 


(1) 如 图 9-27 所 示 ， 右 击 Internet 
连接 , 在 弹出 的 快捷 菜单 中 选择 


“属性 ”命令 。 


(2) 如 图 9-28 所 示 ， 在 出 现 的 
“Intemet 属性 ”对 话 框 的 “ 服 
务 和 端口 ?选项 卡 中 , 选中 ”Web 
服务 器 (HTTP)” 复 选 框 。 


Er 
和 ++ 合同 XX 固 目 电 生财 


WT 


: 四 


i 


F T 
全 图 9-27 “路 由 和 远程 访问 ”对 话 框 


(3) 如 图 9-29 所 示 ， 在 出 现 的 “编辑 服务 ”对 话 框 的 “专用 地 址 ”文本 框 中 输入 


“10.0.0.10”， 单 击 “ 确 定 ” 按 钮 。 


[| 
NT/ 基本 防火 墙 | 地 址 油 “ 艰 务 和 端口 |rcmp | 


和 


口 Taternet 邮件 服务 器 (SwTP) 
口 m 安全 coin) 
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[EE 
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全 图 9-28 选择 Web 服务 器 


全 图 9-29 指定 内 网 的 IP 地 址 
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| 9.4 EEE 


打开 随 书 光盘 中 第 9 章 练习 “实验 01 PAT.pkt”， 网 络 拓扑 如 图 9-30 所 示 ， 你 需要 在 
CPE 路 由 器 上 配置 PAT， 人 允许 内 网 的 两 个 网 段 访 问 Internet。 
配置 PAT 


AN 
RULES 202 的: 
202. 99. 160.0/24 


131. 107.0. 1/24 


内 网 ei 
2950-24 a Si 0/062 
Inside P| | a erver 
10.0.0.0124 99 160., 2/24 
& A 
> 
Server-PT Server-pT 2 
MailServer WebServerl PC5 
2.16.0.0/24 202.99, 160. 3/24 
全 图 9-30 配置 PAT 实验 环境 
操作 步骤 如 下 。 


在 CPE 上 的 配置 : 

CPE (config) #access-list 10 permit 10.0.0.0 0.0.0.255 

CPE (config) #access-list 10 permit 172.16.0.0 0.0.0.255 

CPE (config) #ip NAT pool todd 131.107.0.1 131.107.0.1 netmask 255.255.255.0 
CPE (config) #ip NAT inside source list 10 pool todd overload 

CPE (config) #interface Serial 2/0 

CPE (config-if) #ip NAT outside 

CPE (config-if) #exi 

CPE (config) #interface fastEthernet 0/0 


CPE (config-if) #ip NAT inside 


访问 近 制 列表 要 包括 内 网 的 两 个 网 段 ， 


1. Intemet 上 路 由 器 不 进行 转发 的 网 络 地 址 是 。 
A. 101.1.32.7 了 B，192.178.32.2 
1 D. 172.35.32.244 
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北京 佳 城 公司 有 一 个 25 台 计 算 机 组 建 的 局 域 网 ， 打 算 使 该 网 络 中 的 计算 机 能 
同时 访问 Intemet， 但 是 佳 城 公 司 只 有 4 个 可 用 的 公 网 地 址 ， 如 何 配置 才能 使 这 
25 台 计 算 机 能 够 访问 Intemet? 

Static NAT 

Global NAT 

Dynamic NAT 

Static NAT with ACLs 

E. Dynamic NAT with overload 

石家庄 新 迈 科技 公司 的 网 络 拓扑 如 图 9-31 所 示 , 网 络 管理 员 打算 使 用 网 络 地 址 转 
换 技术 使 内 网 能 够 访问 Intermet，, 内 网 计算 机 使 用 的 是 私 网 地 址 , 应 该 在 _ 上 
进行 NAT 配置 。 


SoD 只 > 


f/f De Corporate 


全 图 9-31 网 络 拓扑 

Corporate 路 由 器 
Engineering 路 由 器 
Sales 路 由 器 
所 有 的 路 由 器 
. 所 有 的 路 由 器 和 交换 机 
Cisco 路 由 器 已 经 使 用 以 下 命令 进行 了 配置 : 
ip NAT pool NAT-test 192.168.6.10 192.168.6.20 netmask 255.255.255.0 
这 是 
静态 NAT 
动态 NAT 
带 overload 的 动态 NAT 
端口 地 址 转换 PAT 

是 NAT 的 缺点 。( 选 择 3 个 ) 
A. 导致 转发 延迟 
B. 节省 了 合法 的 公 网 地 址 
C. 破坏 了 端 到 端的 连接 性 


中 口 D 员 > 


DNHmPp 
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D. 增加 了 接 入 Intemet 的 灵活 性 
E. 在 使 用 网 络 地 址 转换 的 情况 下 某 些 应 用 程序 将 不 能 工作 
F 减少 了 IP 地 址 重合 
命令 可 以 看 到 路 由 器 上 实时 的 地 址 转换 。 
A. Show ip NAT translation 
B. Show ip NAT statistics 
C. Debug ip NAT 
D. Cleare ip NAT translations 
命令 将 会 清除 所 有 路 由 器 上 的 转换 活动 。 
A. Show ip NAT translations 
B. Show ip NAT statistics 
C. Debug ip NAT 
D. Clear ip NAT translations * 
命令 将 会 显示 NAT 配置 的 汇总 信息 。 
A. Show ip NAT translations 
B. Show ip NAT statistics 
C. Debug ip NAT 
D. Clear ip NAT translations * 
命令 将 会 创建 一 个 名 称 为 Todd 的 提供 30 个 公 网 地 址 的 动态 地 址 池 。 
A. Ip NAT pool Todd 171.16.10.65 172.16.10.94 net 255.255.255.240 
B. Ip NAT pool Todd 171.16.10.65 172.16.10.94 net 255.255.255.224 
C. Ip NAT pool todd 171.16.10.65 172.16.10.94 net 255.255.255.224 
D. Ip NAT pool Todd 171.16.10.65 172.16.10.94 net 255.255.255.0 


.地 址 转换 的 类 型 有 _。 


A. Static 

B. IP NAT pool 

C. Dynamic 

D. NAT double-translation 

E. Overload 

是 使 用 网 络 地 址 转换 的 理由 。 

A. 需要 连接 Intemet 但 是 没有 足够 的 公 网 地 址 

B. 改变 了 一 个 新 的 ISP， 需 要 重新 更 改 内 网 人 P 地 址 
. 不 想 任何 主机 连接 Internet 

D. 有 需要 合并 相同 网 段 的 内 网 


| 


uy 
阅 
芒 
漳 


onNwaewmhwmnb 
D> 人 NPPH>HA 
- 
已 


. B， 地 址 池 名 称 区 分 大 小 写 
10. A、C、E 
11. A、B、D 
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第 10 章 IPv6 


本 章 将 介绍 IPv6 比 现在 的 他 有 哪些 方面 的 改进 。 具体 介绍 IPv6 的 地 址 体系 , IPv6 下 
的 计算 机 地 址 配置 方式 ，IPv6 的 静态 路 由 和 动 路 由 ， 广 持 IPv6 的 动态 路 由 协议 RIPng、 
EIGRPv6 和 OSPF v3 的 配置 。 py 

本 章 主要 内 容 : 
为 什么 需要 IPv6 
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| 101 为 什么 需要 IPv6 


从 20 世纪 70 年 代 开 始 ， 互 联网 技术 就 以 超出 人 们 想像 的 速度 迅猛 发 展 。 然 而 ， 随 着 
基于 IPv4 协议 的 计算 机 网 络 特别 是 Intemet 的 迅速 发 展 ， 互 联网 在 产生 了 巨大 的 经 济 效益 
和 社会 效益 的 同时 也 暴露 出 其 本 身 固 有 的 问题 ， 如 安全 性 不 高 、 路 由 表 过 度 膨胀 ， 特 别 是 
IPv4 地 址 的 匮乏 。 随 着 互联 网 的 进一步 发 展 特别 是 未 来 电子 、 电 器 设备 和 移动 通信 设备 对 
卫 地 址 的 巨大 需求 ，IPv4 的 约 42 亿 个 地 址 空间 是 根本 无 法 满足 要 求 的 。 有 预测 表明 以 目 
前 Internet 的 发 展 速度 计算 , 所 有 IPv4 地 址 将 在 2012 年 分 配 完 毕 。 这 也 是 推动 下 一 代 互联 
网 协议 IPv6 研究 的 主要 动力 。 


10.1.1 IPv4 的 不 足 之 处 


IPv4 的 不 足 主 要 体现 在 以 下 几 个 方面 。 
1. 地 址 空间 的 不 足 


在 Intemet 发 展 的 初期 ， 人 们 认为 网 络 地 址 是 不 可 能 分 配 完 的 ， 这 就 导致 网 络 地 址 分 
配 时 的 随意 性 ， 其 结果 就 是 瑟 地 址 的 利用 率 较 低 。 由 于 组 织 的 存在 ，IP 地 址 不 是 一 个 接 
一 个 地 分 配 的 ， 而 且 由 于 缺乏 经 验 的 地 址 分 类 的 做 法 ， 造 成 了 大 量 的 地 址 浪费 。 

分 配 的 过 程 是 按时 间 顺 序 进 行 的 ， 刚 开始 的 时 候 一 个 学 校 可 以 拥有 一 个 A 类 网 络 ， 而 
后 来 一 个 国家 可 能 只 能 拥有 一 个 C 类 网 络 。A 类 网 络 的 数目 并 不 多 ， 因 此 问题 的 焦点 就 集 
中 在 B 类 和 C 类 网 络 地 址 上 ，A 类 的 网 络 太 大 , 而 C 类 的 网 络 太 小 ， 因 为 后 来 的 几乎 所 有 
的 申请 者 都 愿意 申请 一 个 B 类 网 络 , 一 个 B 类 网 络 可 以 拥有 65534 个 主机 地 址 ， 而 实际 上 
根本 用 不 了 这 么 多 的 地 址 ， 由 于 这 样 的 低 效率 的 分 配方 法 ， 导 致 B 类 地 址 消耗 得 特别 快 。 
也 就 导致 对 现 有 的 人 P 地 址 的 分 配 速率 很 快 ， 造 成 地 址 即将 被 分 配 完 的 局 面 。 


2. 对 现 有 路 由 技术 的 支持 不 够 


由 于 历史 原因 , 今天 的 他 地址 空间 的 拓扑 结构 都 只 有 两 层 或 者 三 层 , 这 在 路 由 选择 上 
来 看 是 非常 糟糕 的 。 各 级 路 由 器 中 路 由 表 的 数目 过 度 增 长 ， 最 终 的 结果 是 使 路 由 器 不 堪 重 
人 负 ，Interet 的 路 由 选择 机 制 因 此 而 崩溃 。 

当前 ，Intemet 发 展 的 瓶颈 已 经 不 再 是 物理 线路 的 速率 ，AIM 技术 ， 百 兆 / 千 兆 以 太 网 
技术 的 出 现 使 得 物理 线路 的 表现 有 了 显著 的 改善 , 现在 路 由 器 的 处 理 速度 成 为 阻碍 Intemet 
发 展 的 主要 因素 。 而 IPv4 天 生 设 计 上 的 缺陷 更 大 大 加 重 了 路 由 器 的 负担 。 

首先 ，IPv4 的 分 组 报头 的 长 度 是 不 国定 的 ， 这 样 不 利于 在 路 由 器 中 直接 利用 硬件 来 实 
现 分 组 中 路 由 信息 的 提取 、 分 析 和 选择 。 

其 次 ， 目 前 的 路 由 选择 机 制 仍然 不 够 灵活 ， 对 每 个 分 组 都 进行 同样 过 程 的 路 由 选择 ， 
没有 充分 利用 分 组 间 的 相关 性 。 
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再 次 ,由 于 IPv4 设计 时 未 能 完全 遵循 端 到 端 通信 的 原则 , 加 上 当时 物理 线路 的 误 码 率 
比较 高 ， 使 得 路 由 器 还 要 具备 以 下 两 个 功能 。 

= ”根据 线路 的 MTU 来 分 段 和 重组 过 大 的 他 分 组 

， ， 逐 段 进行 数据 校 验 。 

这 同样 会 造成 路 由 器 处 理 速度 降低 。 

3. 无 法 提供 多 样 的 QoS 


随 着 Internet 的 成 功 和 发 展 ， 商 家 已 经 将 更 多 的 关注 投向 了 Intemet， 他 们 意识 到 其 中 
蕴含 着 巨大 的 商机 ， 今 天 乃至 将 来 ， 有 很 多 的 业务 应 用 都 希望 在 互联 网 上 进行 。 在 这 些 业 
务 中 包括 对 时 间 和 带宽 要 求 很 高 的 实时 多 媒体 业务 ， 如 语音 、 图 像 等 ; 包括 对 安全 性 要 求 
很 高 的 电子 商务 业务 以 及 发 展 越 来 越 迅猛 的 移动 卫 业务 等 。 这 些 业务 对 网 络 QoS 的 要 求 
各 不 相同 。 但 是 ,IPv4 在 设计 时 没有 引入 QoS 这 样 的 概念 ,设计 上 的 不 足 使 得 它 很 难 相 应 
地 提供 丰富 的 、 灵 活 的 QoS 选项 。 

虽然 人 们 提出 了 一 系列 的 技术 ， 如 NAT、CIDR、VLSM、RSVP 等 来 缓解 这 些 问 题 ， 
但 这 些 方法 都 只 是 权宜 之 计 ， 解 决 不 了 因 地 址 不 多 及 地 址 结构 不 合理 而 导致 的 地 址 短缺 的 
根本 问题 。 最 终 IPv6 应 运 而 生 。 


10.1.2 1IPv6 的 改进 


IPv6 相对 于 IPv4 来 说 有 以 下 方面 的 改进 : 
1. 扩展 的 地 址 空间 和 结构 化 的 路 由 层次 


IPv6 地 址 长 度 由 IPv4 的 32 位 扩展 到 128 位 ， 全 局 单 点 地 址 采用 支持 无 分 类 域 间 路 由 
的 地 址 聚 类 机 制 ， 可 以 支持 更 多 的 地 址 层次 和 更 多 的 结 点 数目 ， 并 且 使 得 自动 配置 地 址 更 
加 简单 。 


2. 简化 了 报头 格式 


IPv4 报头 中 的 一 些 字段 被 取消 或 是 变 成 可 选项 ,尽管 IPv6 的 地 址 长 度 是 IPv4 的 4 倍 ， 
但 是 IPv6 的 基本 报头 只 是 IPv4 报头 长 度 的 两 倍 。 取消 了 对 报头 中 可 选项 长 度 的 严格 限制 ， 
增加 了 灵活 性 。 


3. 简单 的 管理 : 即 插 即 用 


IPv6 通过 实现 一 系列 的 自动 发 现 和 自动 配置 功能 ， 简 化 网 络 结 点 的 管理 和 维护 。 已 实 
现 的 典型 技术 包括 最 大 传输 单元 发 现 (“MTU Discovery )、 邻 接 结 点 发 现 (Neighbor 
Discovery)、 路 由 器 通告 (Router Advertisement)、 路 由 器 请 求 (Router Solicitation )、 结 点 
自动 配置 (Auto-configuration ) 等 。 
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4. 安全 性 


在 制定 IPv6 技术 规范 的 同时 ， 产 生 了 IPSec (IP Security)， 用 于 提供 下 层 的 安全 性 。 
目前 ,IPv6 实现 了 认证 头 (Authentication Header,AH) 和 封装 安全 载荷 (Encapsulated Security 
Payload，ESP) 两 种 机 制 。 前 者 实现 数据 的 完整 性 及 对 人 P 包 来 源 的 认证 ， 保 证 分 组 确实 来 
自 源 地 址 所 标记 的 结 点 ， 后 者 提供 数据 加 密 功 能 ， 实 现 端 到 端的 加 密 。 


5. QoS 能 力 


报头 中 的 “标签 ”字段 允许 鉴别 属于 同一 数据 流 的 所 有 报 文 ， 因 此 路 径 上 所 有 路 由 器 
可 以 鉴别 一 个 流 的 所 有 报 文 ， 实 现 非 默认 的 服务 质量 或 实时 的 服务 等 特殊 处 理 。 


6. 改进 的 多 点 寻 址 方案 


通过 在 组 播 地址 中 增加 了 “范围 ”字段 ， 允 许 将 组 播 的 路 由 限定 在 正确 的 范围 之 内 。 
男 一 个 “标志 ”字段 允许 Intranet 区 分 永久 性 的 多 点 地 址 和 临时 性 的 多 点 地 址 。 


7. 定义 了 一 种 新 的 群 通信 地 址 方式 : Anycast 


在 点 到 多 点 的 通信 中 ,将 报 文 传递 到 一 组 结 点 中 的 一 个 (通常 是 最 近 的 一 个 )， 从 而 允 
许 在 源 点 路 由 中 允许 结 点 控制 传递 路 径 。 


8. 可 移动 性 


IPv6 协议 设计 的 若干 技术 有 利于 移动 计算 的 实现 ， 包 括 信 宿 选 项 头 (destiNATion 
options header)、 路 由 选项 头 〈routing header)、 自 动 配置 、 安 全 机 制 以 及 Anycast 技术 。 将 
QoS 技术 同 移动 结 点 相 结合 还 将 强化 IPv6 对 移动 计算 的 支持 。 


10.1.3 “IPv6 协议 栈 


图 10-1 所 示 是 IPv4 和 IPv6 协议 栈 的 比较 。 
IPv4 协 议 栈 IPv6 协 议 栈 


全 图 10-1 IPv6 协议 栈 和 IPv4 协议 栈 的 比较 
可 以 看 到 ，IPv6 协议 栈 与 IPv4 协议 栈 相 比 较 在 网 络 层 变化 最 大 ，IPv6 的 网 络 层 没有 
ARP 协议 和 IGMP 协议 ，ICMP 协议 功能 做 了 很 大 的 扩展 。ICMP 在 IPv6 定义 中 重新 修 
订 。 此 外 ，IPv4 组 成 员 协议 (IGMP) 的 多 点 传送 控制 功能 和 ARP 协议 的 功能 也 榜 入 
到 ICMPv6 中 ,分别 是 邻居 发 现 (ND) 协议 和 多 播 侦 听 器 发 现 (MLD) 协议 。 
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IJPv6 网 络 层 的 核心 协议 包括 以 下 几 种 。 

。 ”IPv6: 取代 IPv4， 它 是 一 个 可 路 由 协议 ， 为 数据 包 进 行 寻 址 、 路 由 、 分 段 和 重组 。 

a Intemet 控制 消息 协议 IPv6 版 (ICMPv6) : 取代 ICMP， 它 报告 错误 和 其 他 信息 
以 帮助 您 诊断 不 成 功 的 数据 包 传送 。 

sa ”邻居 发 现 ND) 协议 : ND 取代 ARP， 它 管理 相 邻 IPv6 结 点 间 的 交互 ， 包 括 自 动 
配置 地 址 和 将 下 一 跃 点 IPv6 地 址 解析 为 MAC 地 址 。 

a ”多 播 侦 听 器 发 现 (MLD) 协议 : MLD 取代 IGMP， 它 管理 IPv6 多 播 组 成 员 身 份 。 


10.1.4 ICMPv6 协议 的 功能 


IPv6 使 用 的 是 ICMP for IPv4 的 更 新 版 本 。 这 一 新 版 本 叫做 ICMPv6， 它 执行 常见 的 
ICMP for IPv4 功能 , 报告 传送 或 转发 中 的 错误 并 为 疑难 解答 提供 简单 的 回 显 服务 .ICMPv6 
协议 还 为 ND 和 MLD 消息 提供 消息 结构 。 


1. 邻居 发 现 CND) 


ND 是 一 组 ICMPv6 消息 和 过 程 , 用 于 确定 相 邻 结 点 间 的 关系 。ND 取代 了 IPv4 中 使 
用 的 ARP、ICMP 路 由 器 发 现 和 ICMP 重 定向 ， 提 供 了 更 丰富 的 功能 。 
主机 可 以 使 用 ND 完成 以 下 任务 。 
a 发 现 相 邻 的 路 由 器 。 
a ”发 现 并 自动 配置 地 址 和 其 他 配置 参数 。 
路 由 器 可 以 使 用 ND 完成 以 下 任务 。 
a ”公布 它们 的 存在 、 主 机 地 址 和 其 他 配置 参数 。 
a ”向 主机 提示 更 好 的 下 一 跃 点 地 址 来 帮助 数据 包 转 发 到 特定 目标 。 
结 点 〈 包 括 主机 和 路 由 器 ) 可 以 使 用 ND 完成 以 下 任务 : 
a ”解析 IPv6 数据 包 将 被 转发 到 的 一 个 相 邻 结 点 的 链 路 层 地 址 〈 又 称 MAC 地 址 ) 。 
a ”动态 公布 MAC 地 址 的 更 改 。 
a ”确定 某 个 相 邻 结 点 是 否 仍然 可 以 到 达 。 
表 10-1 列 出 了 RFC 2461 中 描述 的 ND 过 程 并 作 了 说 明 。 
表 10-1 ND 过程 


路 由 器 发 现 主机 通过 该 过 程 来 发 现 它 的 相 邻 路 由 器 

前 缀 发 现 | 主机 通过 该 过 程 来 发 现 本 地 子 网 目标 的 网 络 前 绥 

地 址 自动 配置 无 论 是 否 存 在 地 址 配置 服务 器 (例如 运行 动态 主机 配置 协议 IPv6 版 (DHCPv6) 
的 服务 器 ， 该 过 程 都 可 以 为 接口 配置 IPv6 地 址 

地 址 解析 结 点 通过 该 过 程 将 邻居 的 IPv6 地 址 解析 为 它 的 MAC 地 址 。IPv6 中 的 地 址 解 


析 相 当 于 IPv4 中 的 ARP 
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结 点 根据 目标 地 址 通过 该 过 程 来 确定 数据 包 要 转发 到 的 下 一 跃 点 IPv6 地 址 。 下 


一 跃 点 地 址 可 能 是 目标 地 址 ， 也 可 能 是 某 个 相 邻 路 由 器 的 地 址 
邻居 不 可 访问 性 检测 结 点 通过 该 过 程 确定 邻居 的 IPv6 层 是 否 能 够 发 送 或 接收 数据 包 


重复 地 址 检测 | 结 点 通过 该 过 程 确定 它 打算 使 用 的 某 个 地 址 是 否 已 被 相 邻 结 点 占用 
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重 定向 功能 该 过 程 提示 主机 更 好 的 第 一 跃 点 IPv6 地 址 来 帮助 数据 包 向 目标 传送 


2. 地 址 解析 


IPv6 地 址 解析 包括 交换 “邻居 请 求 ” 和 “邻居 公布 ”消息 ， 从 而 将 下 一 跃 点 IPv6 地 
址 解析 为 其 对 应 的 MAC 地 址 。 发 送 主机 在 适当 的 接口 上 发 送 一 条 多 播 “ 邻 居 请 求 ”消息 。 
“邻居 请 求 ”消息 包括 发 送 结 点 的 MAC 地 址 。 

当 目 标 结 点 接收 到 “邻居 请 求 ”消息 后 ， 将 使 用 “邻居 请 求 ”消息 中 包含 的 源 地 址 和 
MAC 地 址 的 条 目 更 新 其 邻居 缓存 (相当 于 ARP 缓存 )。 接 着 ， 目 标 结 点 向 “邻居 请 求 ” 
消息 的 发 送 方 发 送 一 条 包含 它 的 MAC 地 址 的 单 播 “邻居 公布 ”消息 。 

接收 到 来 自 目 标的 “邻居 公布 ”后 ， 发 送 主机 根据 其 中 包含 的 MAC 地 址 使 用 目标 结 
点 条 目 来 更 新 它 的 邻居 缓存 。 此 时 ， 发 送 主机 和 “邻居 请 求 ” 的 目标 就 可 以 发 送 单 播 IPv6 
通信 量 了 。 

3. 路 由 器 发 现 


主机 通过 路 由 器 发 现 过程 尝 试 发 现 本 地 子 网 上 的 路 由 器 集合 。 除 了 配置 默认 路 由 器 之 
外 ，IPv6 路 由 器 发 现 还 配置 以 下 设置 。 

a ”IPv6 报头 中 的 “ 跃 点 限制 ”字段 的 默认 设置 。 

a ”用 于 确定 结 点 是 否 应 当 为 地 址 和 其 他 配置 参数 使 用 地 址 配置 协议 (例如 , 动态 主机 
配置 协议 IPv6 版 (DHCPv6) ) 的 设置 。 

a ”为 链 路 定义 网 络 前 级 列表 。 每 个 网 络 前 缀 都 包含 IPv6 网 络 前 级 及 其 有 效 的 和 首选 
的 生存 时 间 。 如 果 指 示 了 网 络 前 级 ， 主 机 便 使 用 该 网 络 前 组 来 创建 IPv6 地 址 配置 
而 不 使 用 地 址 配置 协议 。 网 络 前 级 还 定义 了 本 地 链 路 上 的 结 点 的 地 址 范围 。 

IPv6 路 由 器 发 现 过 程 如 下 : 

a ”IPv6 路 由 器 定期 在 子 网 上 发 送 多 播 “ 路 由 器 公布 ”消息 ， 以 公布 它们 的 路 由 器 身 
份 信息 和 其 他 配置 参数 (例如 地 址 前 级 和 默认 跃 点 限制 )。 

a ”本 地 子 网 上 的 IPv6 主机 接收 “路 由 器 公布 ”消息 ， 并 使 用 其 内 容 来 配置 地 址 、 默 
认 路 由 器 和 其 他 配置 参数 。 

， 一 个 正在 启动 的 主机 发 送 多 播 路 由 器 请 求 " 消 息 。 收 到 “路 由 器 请 求 ”消息 后 ， 本 
地 子 网 上 的 所 有 路 由 器 都 向 发 送 路 由 器 请 求 的 主机 发 送 一 条 单 播 “ 路 由 器 公布 ” 消 
息 。 该 主机 接收 “路 由 器 公布 ”消息 并 使 用 其 内 容 来 配置 地 址 、 默 认 路 由 器 和 其 他 
配置 参数 。 
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4. 地 址 自动 配置 


IPv6 的 一 个 非常 有 用 的 特点 是 ， 它 无 须 使 用 地 址 配置 协议 (例如 , 动态 主机 配置 协议 
IPv6 版 (DHCPv6)) 就 能 够 自动 进行 自我 配置 。 默 认 情况 下 ，IPv6 主机 能 够 为 每 个 接口 
配置 一 个 在 子 网 上 使 用 的 地 址 。 通 过 使 用 路 由 器 发 现 ， 主 机 还 可 以 确定 路 由 器 的 地 址 、 其 
他 地 址 和 其 他 配置 参数 。“ 路 由 器 公布 ”消息 指示 是 否 使 用 地 址 配置 协议 。 


5. 多 播 侦 听 器 发 现 (MLD) 


MLD 是 IGMP 版 本 2 (用 于 IPv4) 的 IPv6 版 本 。MLD 是 路 由 器 和 节点 交换 的 一 组 
ICMPv6 消息 ， 供 路 由 器 用 来 为 各 个 连接 的 接口 发 现 有 侦 听 结 点 的 IPv6 多 播 地 址 的 集合 。 
同 IGMPv2 一 样 , MLD 只 能 发 现 那些 至 少 包含 一 个 侦 听 器 的 多 播 地 址 ， 而 不 能 发 现 各 个 
多 播 地 址 的 单个 多 播 侦 听 器 的 列表 。RFC 2710 中 对 MLD 进行 了 定义 。 

与 IGMPYv2 不 同 ，MLD 使 用 ICMPv6 消息 而 不 是 定义 它 自 己 的 消息 结构 。 

MLD 消息 有 三 种 类 型 : 

a ”多 播 侦 听 器 查询 路 由 器 使 用 “多 播 侦 听 器 查询 ”消息 来 查询 子 网 上 是 否 有 多 播 侦 听 器 。 

a 多 播 侦 听 器 报告 : 多 播 侦 听 器 使 用 “多 播 侦 听 器 报告 ”消息 来 报告 它们 有 兴趣 接收 发 

往 特 定 多 播 地 址 的 多 播 通 信 量 ， 或 者 使 用 这 类 消息 来 响应 “多 播 侦 听 器 查询 ”消息 。 

a 多 播 侦 听 器 完成 : 多 播 侦 听 器 使 用 “多 播 侦 听 器 完成 ”消息 来 报告 它们 可 能 是 子 网 

上 最 后 的 多 播 组 成 员 。 
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下 面 讲解 IPv6 的 下 地 址 的 体系 结构 、 地 址 类 型 和 一 些 特殊 的 IPv6 地 址 ， 并 且 讲 授 在 
Windows XP 上 安装 IPv6 协议 和 配置 IPv6 地 址 的 方法 。 


10.2.1 IPv6 寻 址 及 表达 式 


我 们 已 经 知道 ，IPv6 的 主要 改变 就 是 地 址 的 长 度 : 128 位 。IPv6 地 址 一 共有 2128 个 ， 
340.282.366.920.463.374.607.431.768.211.456 这 个 地 址 数 足够 地 球 上 每 人 拥有 上 千 个 下 地址 。 

IPv6 使 用 冒号 将 其 分 割 成 8 个 16 比特 的 数组 ， 每 个 数组 表示 成 4 位 十 六 进 制 数 。 一 
般 有 以 下 四 种 文本 表示 形式 : 


1. 首选 的 格式 


把 128 比特 划分 成 8 段 ， 每 段 为 16 比特 ， 用 十 六 进 制 表示 ， 并 使 用 冒号 等 间距 分 隔 。 
例如 : F00D:4598:7304:3210:FEDC:BA98:7654:3210。 
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2. 压缩 格式 


在 某 些 IPv6 的 地 址 形式 中 , 很 可 能 地 址 包含 了 长 串 的 “0”。 为 书写 方便 , 可 以 允许 “0” 
压缩 ， 即 一 连 串 的 0 可 用 一 对 冒号 来 取代 。 例 如 ， 以 下 地 址 : 

1080:0:0:0:8:8000:200C:417A 

可 以 表示 为 : 

1080::8:8000:200C:417A 

但 要 注意 ,为 了 避免 出 现 地 址 表示 的 不 清晰 ， 一 对 冒号 (::) 在 一 个 地 址 中 只 能 出 现 一 次 。 

3. 内 嵌 IPv4 的 IPv6 地 址 


当 涉 及 IPv4 和 IPv6 的 混合 环境 时 ， 有 时 使 用 地 址 表示 形式 x:x:x:x:x:x:d.d.d.d, 这 里 6 
个 “x” 分 别 代表 地 址 中 的 用 十 六 进 制 表示 的 一 位 数 ，4 个 “d” 分 别 代 表 地 址 中 的 8 比特 ， 
用 十 进 制 表 示 。 例 如 : 
D000s00:0221.8-L29s100010 
或 者 以 压缩 形式 表示 : 
Ch he 


4.“ 地 址 /前 缀 长 度 ” 表 示 法 

表示 形式 是 : IPv6 地 址 /前 绥 长 度 :其 中 “前 缀 长 度 ” 是 一 个 十 进 制 数 ， 表 示 该 地 址 的 
前 多 少 位 是 地 址 前 级 。 例 如 : F00D:4598:7304:3210:FEDC:BA98:7654:3210， 其 地 址 前 级 是 
64 位 ， 就 可 以 表示 为 : F00D:4598:7304:3210:FEDC:BA98:7654:3210/64。 

当 使 用 Web 浏览 器 向 一 台 IPv6 设备 发 起 HTTP 连接 时 , 必须 将 IPv6 地 址 输入 浏览 器 ， 
而 且 要 用 方 括号 将 IPv6 地 址 括 起 来 。 为 什么 呢 ? 这 是 因为 浏览 器 在 指定 端口 号 时 ,已 经 使 
用 了 一 个 冒号 。 因 此 ， 如 果 你 不 用 方 括 号 将 IPv6 地 址 括 起 来 ， 浏 览 器 将 无 法 识别 出 信息 。 

下 面 是 这 种 情况 的 一 个 例子 : 

http://[2001:0db8:3c4d:0012:0000:0000:1234:56ab] /default .html 

显然 ， 如 果 可 以 的 话 ， 你 表 定 愿意 使 用 网 站 的 域名 来 访问 Web 站 点 ， 比 如 
http://www.edu2act.org， 在 IPv6 的 网 络 中 DNS 变 得 尤为 重要 。 


10.2.2 ”IPv6 的 地 址 类 型 


IPv6 地 址 是 独立 接口 的 标识 符 ， 所 有 的 IPv6 地 址 都 被 分 配 到 接口 ， 而 非 结 点 。 RFE 
2373 中 定义 了 三 种 IPv6 地 址 类 型 ， 单 播 地 址 (Unicast)、 多 播 地 址 (Multicast) 和 任 播 地 
址 (Anycast)。 


1. 单 播 地 址 (Unicast) 


单 播 地 址 是 点 对 点 通信 时 使 用 的 地 址 ， 此 地 址 仅 标识 一 个 接口 ， 网 络 负责 把 对 单 播 地 
址 发 送 的 数据 包 送 到 该 接口 上 。 
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单 播 地 址 有 : 全 球 单 播 地 址 (Global Unicast Address)、 未 指定 地 址 (Unspecified 
Address)、 环 回 地 址 (Loopback Address) 等 几 种 形式 。 
一 般 的 ， 全 球 单 播 地 址 的 格式 如 图 10-2 所 示 。 


2008 :0db8: ii 0012 让 1234: 26ah 


全 球 路 由 前 级 ”了 网 接口 ID 
全 图 10-2 单 播 地 址 结构 

IPv6 全 局 单 播 地 址 的 分 配方 式 如 下 : 顶级 地 址 聚集 机 构 TLA( 即 大 的 ISP 或 地 址 管理 
机 构 ) 获 得 大 块 地 址 ， 负 责 给 次 级 地 址 聚集 机 构 NLA( 中 小 规模 ISP) 分 配 地 址 ，NLA 给 站 点 
级 地 址 聚集 机 构 SLA( 子 网 ) 和 网 络 用 户 分配 地 址 。 

全 球 路 由 前 级 (global routing prefix): 典型 的 分 层 结构 ， 根 据 ISP 来 组 织 ， 用 来 分 配 
给 站 点 (Site)， 站 点 是 子 网 / 链 路 的 集合 。 

a ” 子 网 人 (SubnetID): 站 点 内 子 网 的 标识 符 。 由 站 点 的 管理 员 分 层 地 构建 。 

a ”接口 人 D (IterfaceID) : 用 来 标识 链 路 上 的 接口 。 在 同一 子 网 内 是 唯一 的 。 


2. 多 播 地 址 


多 播 地 址 标识 一 组 接口 (一 般 属于 不 同 结 点 )。 当 数据 包 的 目的 地 址 是 多 播 地 址 时 ,网 
络 尽量 将 其 发 送 到 该 组 的 所 有 接口 上 。 信 源 利 用 多 播 功 能 只 需 生 成 一 次 报 文 即 可 将 其 分 发 
给 多 个 接收 者 。 多 播 地 址 以 11111111 即 企 开 头 。 


3. 任 播 地 址 


任 播 地 址 标识 一 组 接口 ， 它 与 多 播 地 址 的 区 别 在 于 发 送 数据 包 的 方法 。 向 任 播 地 址 发 
送 的 数据 包 并 未 被 分 发 给 组 内 的 所 有 成 员 ， 而 是 发 往 该 地 址 标识 的 “最 近 的 ”那个 接口 。 

任 播 地 址 从 单 播 地 址 空间 中 分 配 ， 使 用 单 播 地 址 的 任何 格式 。 因 而 ， 从 语法 上 ， 任 播 
地 址 与 单 播 地 址 没有 区 别 。 当 一 个 单 播 地 址 被 分 配给 多 于 一 个 的 接口 时 ， 就 将 其 转化 为 任 
播 地 址 。 被 分 配 具 有 任 播 地 址 的 结 点 必须 得 到 明确 的 配置 ， 从 而 知道 它 是 一 个 任 播 地 址 。 

4. 链 路 本 地 地 址 

IPv6 中 有 种 地 址 类 型 叫做 链 路 本 地 (link local) 地 址 ， 该 地 址 用 于 在 同一 网 中 的 IPv6 
计算 机 之 间 进 行 通信 。 自 动 配置 ,邻居 发 现 , 没有 路 由 器 的 链 路 上 的 结 点 都 使 用 这 类 地 址 。 
任意 需要 将 包 发 往 单一 链 路 上 的 设备 和 不 希望 包 发 往 链 路 范围 外 的 协议 都 可 以 使 用 链 路 本 
地 地 址 。 当 你 配置 一 个 单 播 IPV6 地 址 的 时 候 ， 接 口上 会 自动 配置 一 个 链 路 本 地 地 址 。 链 
路 本 地 地 址 和 可 路 由 的 IPv6 地 址 共存 。 


10.2.3 ”IPv6 中 特殊 的 地 址 


在 IPv6 中 是 否 会 有 特殊 的 、 保 留 的 地 址 ， 因 为 在 IPv4 中 就 有 这 样 的 地 址 。 是 的 ， 在 
IPv6 中 也 有 很 多 这 样 的 地 址 。 
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下 面 将 列 出 一 些 地 址 和 地 址 范围 ， 大 家 一 定 要 记 住 它们 ， 因 为 肯定 能 用 到 。 它 们 都 很 
特殊 ， 或 者 是 为 特定 使 用 目的 而 保留 的 ， 但 与 IPv4 不 同 的 是 ，IPv6 的 地 址 空间 特别 巨大 ， 
因此 ， 保 留 一 些 地 址 确实 无 关 紧 要 。 

a ”0:0:0:0:0:0:0:0: 等 于 ::。 这 是 IPv4 中 0.0.0.0 的 等 价 物 ， 当 正在 使 用 有 状态 的 地 址 配置 

时 ， 典 型 情况 下 是 主机 的 源 地 址 。 

a ”0:0:0:0:0:0:0:1: 等 于 ::1。 这 是 IPv4 中 127.0.0.1 的 等 价 物 。 

a ”0:0:0:0:0:0:192.168.100.1: 这 是 在 IPv6/IPv4 混合 网 络 环境 中 IPv4 地 址 的 表示 式 。 

a ”2000::/3: 全 球 单 播 地 址 范围 。 写 成 二 进 制 0010 0000 0000 0000::/3， 只 要 前 三 位 是 001 就 

是 全 球 单 播 地 址 ， 写 成 十 六 进 制 即 2xxx: : /64 和 3xxx::/64 打头 的 都 是 全 球 单 播 地 址 。 

a ”FE80::/10: 链 路 本 地 单 播 地 址 范围 。 

a ”FF00::/8: 组 播 地 址 范围 。 

a ”3FFF:FFFF::/32: 为 示例 和 文档 保留 的 地 址 。 

a ”2001:0DB8::/32: 也 是 为 示例 和 文档 保留 的 地 址 。 

a ”2002::/16: 用 于 IPv6 到 IPv4 的 转换 系统 ， 这 种 结构 允许 IPv6 包 通 过 IPv4 网 络 进行 传 

输 ， 而 无 须 显 式 地 配置 隧道 。 


10.2.4 1IPv6 计算 机 地 址 配置 方法 


IPv6 协议 的 一 个 突出 特点 是 支持 网 络 结 点 地 址 自动 配置 ， 极 大 地 简化 了 网 络 管理 者 的 
工作 。 下 面 将 演示 一 台 设备 自动 地 为 它 自己 配置 地 址 的 能 力 ， 这 就 是 “无 状态 自动 配置 ” 
另 一 种 自动 配置 类 型 ， 称 为 “有 状态 自动 配置 "。 一 定 要 牢记 ， 有 状态 自动 配置 与 IPv4 中 
使 用 的 DHCP 服务 器 配置 十 分 相像 。 


1. 无 状态 自动 配置 


自动 配置 是 一 种 令 人 难以 置信 的 、 有 用 的 解决 方案 ， 因 为 它 允 许 网 络 中 的 设备 用 链 路 
本 地 单 播 地 址 自动 进行 地 址 配置 。 这 个 过 程 在 开始 时 从 路 由 器 那里 学 习 前 级 信息 ， 然 后 将 
设备 自己 的 接口 地 址 作为 接口 ID 附加 上 去 。 但 它 从 哪里 获得 接口 ID 呢 ? 大 家 知道 ， 以 太 
网 中 的 每 台 设备 都 有 一 个 物理 MAC 地 址 ， 这 个 MAC 地 址 就 用 来 作为 接口 ID。 可 是 IPv6 
地 址 中 的 接口 ID 是 64 位 的 ， 而 MAC 地 址 仅 为 48 位 ， 因 此 ， 需 要 另外 再 加 上 16 位 。 这 
16 位 从 哪里 来 呢 ? 是 在 MAC 地 址 的 中 间 填 充 FFFE。 

例如 ， 我 们 假定 某 台 设备 的 MAC 地 址 如 下 : 

0060.d673.1987 

在 填充 之 后 ， 就 变 为 0260.d6FF.FE73.1987 

那么 ， 地 址 开头 的 2 是 从 哪里 来 的 呢 ? 大 家 要 知道 ， 如 果 地 址 是 本 地 唯一 的 或 全 球 唯 
一 的 ， 那 么 填充 过 程 的 部 分 〈 称 为 改进 的 eui-64 格式 ) 会 将 一 位 改 为 特定 的 数字 ， 被 改动 
的 这 一 位 是 二 进 制 MAC 地 址 中 的 第 7 位 。 这 一 位 的 值 为 1， 意味 着 是 全 球 唯一 的 ， 这 一 
位 的 值 为 0， 意 味 着 是 本 地 唯一 的 。 看 看 例子 ， 你 能 说 出 这 个 地 址 是 全 球 唯 一 的 还 是 本 地 
唯一 的 么 ?对 了 ， 是 全 球 唯 一 的 。 如 果 是 0060.46FFFE73.1987， 这 意味 着 是 本 地 唯一 的 。 
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示例 : 安装 IPv6 并 查看 本 地 链 路 地 址 
Windows Server 2003、Windows 7、Windows Server 2008 默认 已 经 启用 了 IPv6。 默 认 
Windows XP 没有 启用 IPv6 协议 ， 需 要 安装 IPv6。 


(1) 如 图 10-3 所 示 , 打开 “本 地 连接 属性 ”对 话 框 , 在 “常规 ”选项 卡 中 ， 单 击 “ 安 
装 ”按钮 。 

(2) 如 图 10-4 所 示 ， 在 出 现 的 “选择 网 络 组 件 类 型 ”对 话 框 中 ， 选 中 “协议 ”选项 ， 
单 击 “ 添 加 ”按钮 。 


十 本 地 连接 属性 
二 和 到 | 


连接 时 便 用 
一 were Accelerated MD TCRet f 


此 连接 使 用 下 列 项 目 @) 
回 局 Qos 数据 包 计划 程序 


MW Network Monitor Driver 
回访 Internet 协议 CICP/IP) 


< 
Cr 记 w [CR | 


选择 网 络 组 件 类 型 


单 击 要 安装 的 网 络 组 件 类 型 C); 
国 客 户 端 
局 服 务 
| 


说 明 

区 许 您 的 计算 机 访问 上 iceresoft 网 络 上 的 资源 。 玉 
测 沼 咏 汉 是 从 的 计算 机 用 来 尼 它 计算 机 通读 的 

回 连 接 后 在 通知 区 域 显示 图 标 他 ) 六 

回 此 入 接 被 限 制 或 无 连接 时 通知 我 员 


添加 


[3 


全 图 10-3 “本 地 连接 属性 ”对 话 框 全 图 10-4 选择 协议 
(3) 如 图 10-5 所 示 , 在 出 现 的 “选择 网 络 协议 ”对 话 框 中 , 选择 “Microsoft TCP/IP 版 
本 6” 选项 ， 单 击 “ 确 定 ” 按 钮 。 
(4) 如 图 10-6 所 示 ， 添 加 了 IPv6 协议 绑 定 到 本 地 连接 。 
省 本 地 连接 属性 
EE 


连接 时 使 用 
By Viware Accelerated AID FCNet 上 


此 连接 使 用 下 列 项 目 @) 
团 入 朋 crosoft TCP/IP 版 本 6 
回 Hetwork Wonitor Driver 
回 广 Internet 协议 CTCP/IP) 


ea | | | 
[ET ] 逢 载 由) 属性 @B) 


说 明 
区 许 您 的 计算 机 访问 晶 crosoft 网 络 上 的 资源 。 


er 版 本 6 
WLink IPX/SPY/WethIOS Conpatible Transport Protocol 


对 连接 后 在 通知 区 域 显示 图 标 他 ) 
车 这 个 弛 可 序 已 经 过 数字 答 团 。 er 回 此 连接 被 限制 或 无 连接 时 通知 我 如 
Cs ] 
全 图 10-5 选择 IPv6 全 图 10-6 添加 了 IPv6 协议 


305 


英 基 
计算 机 网 络 (修订 版) 
(5) 如 图 10-7 所 示 , 在 命令 提示 符 下 , 输入 ipconfig 能 够 看 到 IPv6 的 本 地 链 路 地 址 。 


C:\Documents and Settings\Adninistrator>ipconfig /all 


Windows IP Configuration 


Host Nane - - - - - : han-aB8e336Bc?1 
Prinary Dns Suffix : 
Node Type - - - - - : Unknown 


IP Routing Enabled. : No 
WINS Proxy Enabled. : No 


Ethernet adapter 本 地 连接 : 


Connection-specific DNS Suffix 


Description - . . . : UMware Accelerated AMD PCNet hdapter 
Physical fAddress. . : 898-8C-29-C5-1F-77 MAC 地 址 

Dhcp Enabled. . . . :No 

IP fddress. . . . . : 10.0.1.122 

Subnet Mask . . . . : 255.255.255.9 

IP nddress- - . . . : fe80::26c:29ff:fec5:1f77x5 本 地 链 路 地 址 


Default Gateway . . : 19.9.1.1 
DNS Servers 


全 图 10-7 IPv6 的 本 地 链 路 地 址 
(6) 配 置 Dynamips 路 由 器 , 启用 IPv6 转发 , 和 计算 机 连接 的 网 络 接口 fastEthernet 1/0 
的 IPv6 地 址 为 2001:3::1/64。 


RA (config) #ipv6 unicast-routing -- 在 路 由 器 上 启用 IPv6 转发 
RA (config) #interface fastEhernet 1/0 
RA (config-if) #ipv6 address 2001:3::1/64 =-- 指 定 ITPv6 地 址 


你 也 可 以 使 用 以 下 方式 配置 IPv6 地 址 。 

RA (config-if ) #pv6 address 2001:3::/64 eui-64 

可 以 指定 整个 128 位 的 全 球 IPv6 地 址 , 或 者 使 用 eui-64 选项 。 记 住 ，eui-64 
格式 允许 设备 使 用 其 MAC 地 址 并 对 它 进行 填充 ， 以 得 到 接口 ID。 


记 住 ， 如 果 仅 有 和 链 路 本 地 地 址 ， 将 只 能 与 本 地 子 网 上 的 主机 通信 。 
要 将 路 由 器 配置 为 仅 使 用 链 路 本 地 地 址 ， 可 使 用 IPv6 enable 接口 配置 命令 : 
RA (config-if) #ipv6 enable。 


(7) 如 图 10-8 所 示 ， 查 看 无 状态 配置 自动 配置 的 IPv6 地 址 和 本 地 链 路 地 址 。 本 地 链 
路 地 址 用 于 本 网 段 通信 。 
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C:\Docunents and Settings\Adninistrator>ipconfig /all 


Windows IP Configuration 


Host Nane - - - - - - - - : han-aB8e336Bc?1 
Primary Dns Suffix - - - : 

Node Type - - - - - - - - : Unknown 

IP Routing Enabled. - . - : No 

WINS Proxy Enabled. . - - : No 


Ethernet adapter 本 地 连接 : 


Connection-specific DNS Suffix - : 


Description - - - - - - - : UMware fccelerated AMD PCNet hdapter 
Physical Address. . - - - : 80-8C-29-C5-1F-77 

Dhep Enabled. - - - - - - :2 No 

IP Address. - - - - : 19-98-1-122 

Subnet Mask - . - - - : 255.255-255.9 

IP fddress. - 。 - - - : 2001:3::8be:8bbb:b832:£df9 

IP Address. . . . - 288 


EEE 


fe89: :ceg9:5ff:fec8:9x5 网 关 是 路 由 器 的 本 地 链 路 地 址 
全 图 10-8 无 状态 地 址 配置 的 IPv6 地 址 


IP Address. . . . - - - - : 
Default Gateway - - - - - : 


2. 有 状态 自动 配置 


大 家 可 能 会 感到 吃惊 , 但 确实 有 一 些 其 他 的 选项 是 DHCP 仍然 提供 而 自动 配置 却 不 能 
提供 的 。 无 状态 自动 配置 中 ， 绝 对 没有 提 到 DNS 服务 器 、 域 名 服务 ， 或 者 其 他 许多 选项 ， 
这 些 都 是 DHCP 在 IPv4 自动 配置 中 一 直 提供 的 。 这 就 是 为 什么 在 大 多 数 情况 下 ， 我 们 可 
能 仍然 要 在 IPv6 中 使 用 DHCP 的 原因 。 

IPv4 中 ， 在 引导 期 间 ， 客 户 端 发 送 一 个 DHCP 发 现 消息 ， 以 查找 服务 器 ， 得 到 它 所 需 
要 的 信息 。 但 要 记 住 ， 在 IPv6 中 ， 首 先 发 生 RS 和 RA 过 程 。 如 果 网 络 中 有 一 台 DHCPv6 
服务 器 ， 返 回 到 客户 端的 RA 将 告诉 它 DHCP 服务 器 是 否 可 用 。 如 果 没 有 找到 路 由 器 ， 客 
户 端 将 发 送 DHCP 征求 消息 。 征 求 消息 实际 上 就 是 组 播 消息 ， 源 地 址 为 ff92::1:2， 意 味 着 
所 有 的 DHCP 代理 ， 包 括 服务 器 和 中 继 器 都 响应 该 征求 信息 。 

Windows Server 2008 的 DHCP 服务 器 支持 IPv6。 


3. 指定 静态 IPv6 地 址 


对 于 服务 器 来 说 ， 为 了 客户 端 访问 方便 ， 最 好 指定 固定 的 IPv6 地 址 ， 以 便 客户 端 能 够 
较 容 易 地 找到 。Windows XP 和 Windows Server 2003 没有 提供 图 形 界 面 配置 IPv6 的 地 址 、 
网 关 以 及 DNS 等 ， 以 下 命令 是 在 Windows XP 上 运行 的 ， 可 以 指定 本 地 连接 的 IPv6 地 址 、 
网 关 和 DNS 服务器。 

C:\Documents and Settings\Administrator>netsh interface ipv6 add address 
"本 地 连接 " 2001:3::2 

C:\Documents and Settings\Administrator>netsh interface ipv6 add route ::/0 
"本 地 连接 " 2001:3::1 

C:\Documents and Settings\Administrator>netsh interface ipv6 add dns "本 
地 连接 " 

2001:3::100 


查看 IPv6 的 配置 ， 如 图 10-9 所 示 。 
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将 以 上 命令 中 的 add 换 成 delete， 就 可 以 删除 PPv6 地 址 、DNS 和 网 关 。 
如 图 10-10 所 示 ，Windows Server 2008、Windows 7 和 Vista 操作 系统 中 的 IPv6 可 以 这 
样 指定 IPv6 的 配置。 


Csspocunents and Settings hdninistrator>ipconfig /all 


A 


二 可 各 Pa 着 址 加 
而 训 月 BLT Irw 地 址 G) 


cing 
MS Peers Enablod: 2 2 


Ethernet adapter 本 地 和 连接 : 6 地 十) 2001 3 :20 
了 如 
BF EE | 


RT 有 
首 迁 DIE 革 务 器 QD EE 


玫 定 的 元 态 IPv6 地 址 。 | “3 
bore Se hates em || 
INS Servers : 2 De 全 8 
4 Cj 上 到 | 
全 图 10-9 指定 的 静态 IPv6 地 址 全 图 10-10 指定 静态 IPv6 地 址 


103 | 配置 IPv6 路 由 


在 网 络 规模 不 大 的 情况 下 ，IPv6 环境 也 可 以 使 用 静态 路 由 。 配 置 IPv6 的 静态 路 由 和 
配置 IPv4 的 静态 路 由 一 样 。 路 由 器 要 知道 到 达 所 有 网 络 的 路 由 。 

为 了 在 IPv6 网 络 中 使 用 ， 前 面 讨论 过 的 大 多 数 路 由 协议 已 经 升级 了 。 我 们 讨论 过 的 
许多 功能 和 配置 ， 将 以 几乎 一 样 的 方式 在 这 里 继续 得 到 应 用 。 大 家 知道 ， 在 IPv6 中 取消 
了 广播 地 址 ， 因 此 ， 完 全 使 用 广播 流量 的 任何 协议 都 不 会 再 用 了 ， 这 是 一 件 好 事情 ， 因 为 
它们 消耗 大 量 的 带宽 

在 IPv6 中 仍然 使 用 的 路 由 协议 都 有 了 新 的 名 字 ， 并 做 了 翻新 。 

首先 是 RIPng( 下 一 代 RIP)。 如 果 你 已 经 在 IT 行业 工作 了 一 段 时 间 ， 就 会 知道 RIP 
在 小 型 网 络 中 工作 得 很 好 ， 正 是 因为 这 一 点 ， 使 得 RIP 一 直 沿 用 了 下 来 ， 还 将 应 用 在 IPv6 
网 络 中 。 我 们 还 会 使 用 EIGRPv6， 因 为 它 已 经 有 了 与 协议 有 关 的 模块 ， 我 们 所 要 做 的 只 是 
向 其 中 添加 IPv6 协议 即 可 。 剩 下 的 路 由 协议 就 是 OSPFv3 了 ， 它 是 真正 的 第 3 版 ， 因 为 
IPv4 网 络 中 的 OSPF 实际 上 是 第 2 版 ， 因 此 ， 当 它 升 级 到 IPv6 时 ， 就 变 成 了 第 3 版 。 

以 下 将 会 演示 配置 IPv6 的 静态 路 由 , 配置 支持 IPv6 的 动态 路 由 协议 RIPng、EIGRPv6 
和 OSPFv3 。 


10.3.1 配置 IPv6 静态 路 由 


打开 随 书 光盘 第 10 章 练习 “01 IPv6 静态 路 由 .pkt”， 网 络 拓扑 如 图 10-11 所 示 。 网 络 
中 包括 3 个 IPv6 网 段 。 网 络 中 的 路 由 器 和 计算 机 已 经 按照 图 示 配 置 好 了 IPv6 地 址 。 你 需 
要 在 RA 和 RB 路 由 器 上 添加 静态 路 由 ， 使 这 3 个 网 段 的 计算 机 能 使 用 IPv6 通信 。 
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2001:2::0/64 


人 图 10-11 IPv6 静态 路 由 实验 环境 
配置 IPv6 静态 路 由 的 步骤 如 下 。 
(1) 在 RA 上 查看 IPv6 的 路 由 ， 没 有 到 达 2001:3: : 0/64 网 段 的 路 由 。 
RA#show ipv6 route 
£2001>15:/64 [OO 
via ::, fastEthernet0/0 
L 2001:1::1/128 [0/0] 
via ::, fastEthernet0/0 
C 2001:2::/64 [0/0] 
via ::, fastEthernet0/1 
L2001:25:TA128 [ONO 
via ::, fastEthernet0/1 
L FF00::/8 [0/0] 
via ::， Null0 
(2) 在 RA 上 添加 到 达 2001:3: : 0/64 网 段 的 静态 路 由 。 
RA#config t 
RA (config) #ipv6 route 2001:3::/64 2001:2::2 
(3) 在 RB 上 添加 到 2001:1: : 0/64 网 段 的 静态 路 由 。 
RB#config 七 
RB (config) #ipv6 route 2001:1::/64 2001:2::1 
(4) 在 RA 上 查看 路 由 表 ， 显 示 添 加 的 静态 路 由 。 
(5) 使 用 PC0 ping DHCP 计算 机 的 IPv6 地 址 ， 能 通 。 
PC>ping 2001:3::2 
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10.3.2 配置 RIPng 支持 IPv6 


RIPng 的 主要 特性 与 RIPv2 是 一 样 的 。 它 仍然 是 距离 矢量 协议 ， 最 大 跳 数 为 15， 使 用 
水 平分 割 、 毒 性 逆转 和 其 他 的 环 路 避免 机 制 ， 但 它 现在 使 用 UDP 端口 521。 

RIPng 仍然 使 用 组 播 来 发 送 其 更 新 信息 ， 但 在 IPv6 中 ， 它 使 用 FF02::9 为 传输 地 址 。 
在 RIPv2 中 ， 该 组 播 地址 是 224.0.0.9， 因 此 ， 在 新 的 IPv6 组 播 范围 中 ,地 址 的 最 后 仍然 有 
一 个 9。 事 实 上 ， 大 多 数 路 由 协议 都 像 这 样 ， 保 留 了 一 部 分 IPv4 的 特征 。 

当然 ， 新 版 本 肯定 与 旧版 本 有 不 同 之 处 ， 和 否则 它 就 不 是 新 版 本 了 。 我 们 知道 ， 路 由 器 
在 其 路 由 表 中， 为 每 个 目的 网 络 保留 了 其 邻居 路 由 器 的 下 一 跳 地 址 。 对 于 RIPng， 其 不 同 
之 处 在 于 ， 路 由 器 使 用 链 路 本 地 地 址 而 不 是 全 球 地 址 来 跟踪 下 一 跳 地 址 。 

在 RIPng 中 ,最 大 的 改变 是 , 需要 从 接口 配置 模式 配置 或 启用 网 络 中 的 通告 ， 而 不 是 
在 路 由 器 配置 模式 下 使 用 network 命令 来 通告 《所 有 的 IPv6 路 由 协议 都 如 此 )。 因 此 ， 在 
RIPng 中 ， 在 接口 上 直接 启用 它 而 不 是 进入 路 由 器 配置 模式 并 启动 RIPng 进程 ， 那 么 将 启 
动 一 个 新 的 RIPng 进程 ， 它 看 起 来 是 这 样 的 : 
输入 以 下 命令 ， 在 路 由 器 上 启用 RIPng。 
Routerl (config) #ipV6 router rip 1 
在 这 条 命令 中 , 1 是 一 种 标记 , 用 来 识别 正在 运行 的 RIPng 进程 , 可 以 是 数字 和 字符 串 。 
Routerl (config-if) #ipv6 rip 1 enable 
这 将 使 该 接口 参与 RIP 进程 1 的 活动 ,不 必 进 入 路 由 器 全 局 配置 使 用 network 进行 配置 。 
因此 要 记 住 ，RIPng 的 应 用 与 在 IPv4 网 络 中 基本 一 样 。 最 大 的 不 同 是 ， 它 使 用 网 络 本 
而 不 是 使 用 大 家 习惯 了 的 网 络 命令 ， 来 启用 接口 到 所 连接 的 网 络 的 路 由 功能 。 
示例 : 在 IPv6 网 络 中 配置 RIPng 
打开 随 书 光盘 中 第 10 章 练习 “02 IPv6 动态 路 由 协议 RIPngpkt”， 网 络 拓扑 如 图 10-12 
所 示 ， 网 络 中 有 3 个 IPv6 网 段 ， 计 算 机 和 路 由 器 已 经 按照 图 示 配 置 好 了 IPv6 地 址 ， 你 需 
要 在 IPv6 环境 中 配置 动态 路 由 协议 RIPng。 


IPv6 动 态 路 由 协议 RIPng 实验 环境 


小 


sdh Fa0/1 Fa0/1 


2001:2::0/64 


全 图 10-12 IPVv6 动态 路 由 协议 RIPng 实验 环境 


第 10 章 


ipv6 EE 


配置 RIPng 步骤 如 下 。 
(1) 在 RA 上 配置 RIPng。 

RA (config) #ipv6 unicast-routing  -- 在 路 由 器 上 启用 IPv6 

RA (config) #ipv6 router rip ds 一 -启用 RIPng, 后 面 的 ds 是 RIPng 进程 名 称 , 可 
以 是 数字 和 字符 

RA (config-rtr) #exit 

RA (config) #interface fastEthernet 0/0 

RA (config-if) #ipv6 rip ds enable -- 在 该 接口 启用 RIPng， 相 当 于 network 的 作用 

RA (config-if) #exit 

RA (config) #interface fastEthernet 0/1 

RA (config-if) #ipv6 rip ds enable 


(2) 在 RB 上 配置 RIPng。 


RB (config) #ipv6 unicast-routing ” -- 在 路 由 器 上 启用 TIPv6 

RB (config) #ipv6 router rip ds -- 启 用 RIPng， 后 面 的 ds 是 名 称 

RB (config-rtr) #exit 

RB (config) #interface fastEthernet 0/0 

RB (config-if) #ipv6 rip ds enable -- 在 该 接口 启用 RIPng， 相 当 于 network 的 作用 
RB (config-if) #exit 

RB (config) #interface fastEthernet 0/1 

RB (config-if) #ipv6 rip ds enable 


(3) 查看 RA 路 由 器 的 路 由 表 。 
RA#show ipv6 route 
IPV6 Routing Table - 6 entries 
C 2001:1::/64 [0/0] 
via ::, fastEthernet0/0 
DR 2001> :EAL28" Oo91 
Via ::， fastEthernet0/0 
C 2001:2::/64 [0/0] 
via ::， fastEthernet0/1 
E2001:2=:1/128, [OZOY 
via ::， fastEthernet0/1 
R 2001:3::/64 [120/1] -- 通 过 RIPng 学 到 的 路 由 
Via FE80::201:64FF:FE40:4E02， FastEthernet0/1 
L FF00::/8 [0/0] 
Via ::， Null0 
(4) 在 RA 上 查看 运行 的 支持 IPv6 的 路 由 协议 。 


RA#show ipv6 protocols 
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IPV6 Routing Protocol is "connected" 
IPV6 Routing Protocol is "static 
IPV6 Routing Protocol is "rip ds" 
Interfaces : 

fastEthernet0/0 

fastEthernet0/1 
(5) PC0 ping DHCP 服务 器 ， 能 通 。 
PC>ping 200123x2 


10.3.3 配置 EIGRPv6 支持 IPv6 


就 像 RIPng 一 样 ，EIGRPv6 与 其 IPv4 前 辈 几 乎 是 一 样 的 ，EIGRP 的 大 多 数 特性 在 
EIGRPv6 中 都 保留 了 。 

EIGRPv6 仍然 是 高 级 距离 矢量 路 由 协议 ， 并 且 有 一 些 链 路 状态 路 由 协议 的 特征 。 邻 居 
发 现 的 过 程 仍然 使 用 hello 来 进行 , 它 仍然 使 用 可 靠 的 传输 协议 来 提供 可 靠 的 通信 , 并 使 用 
弥散 更 新 算法 (DUAL) 实现 无 环 路 的 快速 收敛 。 

EIGRPv6 使 用 组 播 传输 来 发 送 hello 包 和 更 新 信息 ， 正 如 RIPng 一 样 ，EIGRPv6 的 组 
播 地 址 几乎 是 一 样 的 。 在 IPv4 中 ， 它 是 224.0.0.10; 在 IPv6 中 ， 它 是 FF02::A (在 十 六 进 
制 表 示 法 中 ，A=10)。 
但 显然 ， 这 两 个 版 本 有 着 不 同 之 处 。 最 明显 的 不 同 是 ， 正 如 RIPng 一 样 ， 不 使 用 网 络 
命令 了 ， 要 通告 的 网 络 和 接口 必须 在 接口 配置 模式 下 启用 。 但 在 EIGRPv6 中 ,仍然 使 用 路 
由 器 配置 模式 来 启用 路 由 协议 , 因为 路 由 协议 必须 用 文字 命令 打开 ,就 像 要 用 no shutdown 
命令 打开 接口 一 样 。 

EIGRPV6 的 配置 如 下 : 

Routerl (config) #ipv6 router eigrp 10 

在 这 里 ，10 仍然 是 自治 系统 (AS) 号 。 提 示 符 变 成 了 〈config-rtr) #， 而且 必须 在 这 
里 执行 no shutdown 命令 : 

Routerl (config-rtr) #no shutdown 

还 必须 指定 一 个 routerID: 

Routerl (config-rtr) #router-id 4.0.0.1 

在 这 种 模式 下 ， 也 可 以 配置 其 他 的 选项 ， 比 如 路 由 再 发 布 。 

现在 ， 让 我 们 进入 接口 模式 ， 并 启用 EIGRPv6: 

Router1l (config-if) #ipv6 eigrp 10 

在 接口 命令 中 ，10 同样 表示 AS 号 ， 它 是 在 配置 模式 下 启用 的 。 

示例 : 在 IPv6 网 络 中 配置 EIGRPv6 
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打开 随 书 光盘 中 第 10 章 练习 “03 IPv6 动态 路 由 协议 EIGRPv6.pkt”， 网 络 拓扑 如 图 
10-13 所 示 ， 网 络 中 有 3 个 IPv6 网 段 ， 计 算 机 和 路 由 器 已 经 按照 图 示 配置 好 了 IPv6 地 址 ， 
你 需要 在 IPv6 环境 中 配置 动态 路 由 协议 EIGRPv6。 


IPv6 动 态 路 由 协议 EIGRPv6 实验 环境 


2001:2::0/64 


全 图 10-13 IPv6 动态 路 由 协议 BIGRPv6 实验 环境 
配置 EIGRPv6 的 步骤 如 下 。 
(1) 使 用 PC0 ping DHCP 测试 网 络 ， 你 会 发 现 不 通 。 因 为 路 由 器 没有 配置 路 由 表 。 
(2) 在 RA 上 启用 EIGRPv6。 


RA (config) #ipv6 unicast-routing -- 启 用 IPv6 支持 

RA (config) #ipv6 router eigrp 10 --10 是 自制 系统 编号 ， 和 EIGRP 一 样 
RA (config-rtr) #router-id 4.0.0.1 -指定 一 个 routerID， 必 须 的 

RA (config-rtr) #no shutdown -=- 必 须 运行 no shutdown 启用 EIGRP 


RA (config-rtr) #exi 
RA (config) #interface fastEthernet 0/0 
RA (config-if) #ipv6 eigrp 10 
一 -在 接口 启用 EIGRPV6， 相 当 于 EIGRP 中 的 network 作用 

RA (config-if) #ex 
RA (config) #interface fastEthernet 0/1 
RA (config-if) #ipv6 eigrp 10 

(3) 在 RB 上 启用 EIGRPv6。 
(config) #ipv6 unicast-routing 
(config) #ipV6 router eigrp 10 
(config-rtr) #router-id 4.0.0.2 -- 指 定 一 个 routerID， 必 须 的 
(config-rtr) #no shutdown -=- 必 须 运 行 no shutdown 启用 EIGRP 
(config-rtr) #exi 
(config) #interface fastEthernet 0/0 


(config-if) #ipv6 eigrp 10 


器 员 曙 螂 名 曙 员 贸 


(config-if) #ex 
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RB (config) #interface fastEthernet 0/1 
RB (config-if) #ipv6 eigrp 10 
(4) 在 RB 上 查看 IPv6 路 由 表 。 
RB#show ipv6 route 
IPV6 Routing Table - 6 entries 
D 2001:1::/64 [90/30720] 一 -通过 EIGRPV6 学 到 的 路 由 
Via FE80::260:3EFF:FEC8:8402, fastEthernet0/1 
e2001:2*5/64 TIO/O] 
via ::, fastEthernet0/1 
B200L:202A1286 [10X01 
via ::, fastEthernet0/1 
C 2001:3::/64 [0/0] 
via ::, fastEthernet0/0 
G2001:3251/128 3 L070] 
via ::, fastEthernet0/0 
L FF00::/8 [0/0] 
via err, NalLo 
(5) 在 RB 上 查看 支持 IPv6 的 动态 路 由 协议 配置 情况 。 
RB#show ipv6 protocols 
IPV6 Routing Protocol is "connected" 
IPV6 Routing Protocol is "static" 
IPV6 Routing Protocol is "eigrp 10 " 
EIGRP metric weight K1=1,K2=0,K3=1,K4=0,K5=0 
EIGRP maximum hopcount 100 
EIGRP maximum metric variance 1 
Interfaces: 
fastEthernet0/0 
fastEthernet0/1 
Redistributing: eigrp 10 
Maximum path: 16 
Distance: internal 90 external 170 
(6) 使 用 PC0 ping DHCP， 你 会 发 现 网 络 通 。 
PC>ping :20012322 


10.3.4 配置 OSPFv3 支持 IPv6 


新 版 本 中 的 OSPF 与 IPv4 中 的 OSPF 有 许多 相似 之 处 。 
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OSPF 的 基本 概念 还 是 一 样 的 ， 它 仍然 是 链 路 状态 路 由 协议 ， 它 将 整个 网 络 或 自治 系 
统 分 成 地 区 ， 从 而 使 网 络 具 有 层次 。 

在 OSPFv2 中 ， 路 由 器 ID (RID) 由 分 配给 路 由 器 的 最 大 IP 地 址 决定 (也 可 以 由 你 来 
分 配 )。 在 OSPFv3 中 ， 可 以 分 配 RID、 地 区 ID 和 链 路 状态 ID， 链 路 状态 ID 仍然 是 32 位 
的 值 ， 但 却 不 能 再 使 用 人 P 地 址 来 找到 了 ， 因 为 IPv6 的 地 址 为 128 位 。 根 据 这 些 值 的 不 同 
分 配 ， 会 有 相应 的 改动 ， 从 OSPF 包 的 报头 中 ， 还 删除 了 他 地 址 信息 ， 这 使 得 新 版 本 的 
OSPF 几乎 能 通过 任何 网 络 层 协议 进行 路 由 。 

在 OSPFv3 中 ， 邻 接 和 下 一 跳 属 性 使 用 链 路 本 地 地 址 ， 但 仍然 使 用 组 播 流 量 来 发 送 其 
更 新 和 应 答 信息 ， 对 于 OSPF 路 由 器 ， 地 址 为 FF02::5， 对 于 OSPF 指定 路 由 器 ， 地 址 为 
FF02::6， 这 些 新 地 址 分 别 用 来 替换 224.0.0.5 和 224.0.0.6。 

此 外 ，IPv4 协议 的 灵活 性 不 是 太 好 ， 不 具有 通过 OSPFv2 向 OSPF 进程 分 配 特定 的 网 
络 和 接口 的 能 力 。 但 仍然 需要 在 路 由 器 配置 模式 下 配置 一 些 选项 。 在 OSPFv3 中 ， 就 像 我 
们 前 面 讨 论 过 的 其 他 IPv6 路 由 协议 的 配置 一 样 ,接口 及 与 这 些 接口 相连 的 网 络 , 是 在 接口 
配置 模式 下 直接 在 接口 上 进行 配置 的 。 

OSPFv3 的 配置 如 下 : 


Routerl (config) #ipv6 router ospf 10 


Routerl (config-rtr) #router-id 4.0.0.1 

需要 从 路 由 器 配置 模式 中 执行 一 些 配 置 命 令 ， 比 如 路 由 汇总 和 重 分 配 。 

在 接口 上 启用 OSPFv3， 只 需 进 入 每 个 接口 并 分 配 进程 ID 和 地 区 即 可 。 

Routerl (config-if) #ipv6 ospf 10 area 0 

示例 : 在 IPv6 网 络 中 配置 OSPFv3 

打开 随 书 光盘 第 10 章 练 习 “04 IPv6 动态 路 由 协议 OSPFv3.pkt”， 网 络 拓扑 如 图 10-14 
所 示 ， 网 络 中 有 3 个 IPv6 网 段 ， 计 算 机 和 路 由 器 已 经 按照 图 示 配置 好 了 IPv6 地 址 ， 你 需 
要 在 IPv6 环境 中 配置 动态 路 由 协议 OSPFv3。 


IPv6 动 态 路 由 协议 0SPFv3 实 验 环境 


2001:2::0/64 


信 图 10-14 IPVv6 动态 路 由 协议 0SPFv3 实验 环境 
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配置 OSPFv3 的 步骤 如 下 。 
(1) 在 RA 上 启用 OSPFv3， 并 配置 工作 的 接口 和 区 域 。 


RA (config) #ipv6 unicast-routing 
RA (config) #ipv6 router ospf 1 -1 是 OSPF 进程 号 
RA (config-rtr) #router-id 4.0.0.1 -- 必 须 指定 一 个 routerID 作为 路 由 的 标识 


RA (config-rtr) #exit 
RA (config) #interface fastEthernet 0/0 
RA (config-if) #ipv6 ospf 1 area 0  -- 指 定 OSPF 协议 工作 的 接口 和 所 属 的 区 域 
RA (config-if) #ex 
RA (config) #interface fastEthernet 0/1 
RA (config-if) #ipv6 ospf 1 area 0 
(2) 在 RB 上 启用 OSPFv3， 并 配置 工作 的 接口 和 区 域 。 
(config) #ipv6 unicast-routing 
(config) #ipv6 router ospf 1 
(config-rtr) #router-id 4.0.0.2 
(config-rtr) #ex 
(config) #interface fastEthernet 0/0 
(config-if) #ipv6 ospf 1 area 0 
(config-if) #ex 


(config) #interface fastEthernet 0/1 


虽 吕 中 


(config-if) #ipv6 ospf 1 area 0 
(3) 在 RB 上 查看 路 由 表 。 
RB#show ipv6 route 
IPV6 Routing Table - 6 entries 
© 200 064 oa 一 通过 OSPEV3 学 到 的 路 由 
Via FE80::260:3EFF:FEC8:8402, fastEthernet0/1 
CE20012222764 [0/0] 
Via ::, fastEthernet0/1 
L 2001:2::2/128 [0/0] 
Via ::, fastEthernet0/1 
C 2001:3::/64 [0/0] 
Via ::, fastEthernet0/0 
EY 2000:3a0L20 L001 
Via ::, fastEthernet0/0 
L FF00::/8 [0/0] 


Via ee, MULLO 
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(4) 在 RB 上 查看 配置 IPv6 的 协议 。 
RB#show ipv6 protocols 
IPV6 Routing Protocol is "connected" 
IPV6 Routing Protocol is "static" 
IPV6 Routing Protocol is "ospf 1" 
Interfaces (area 0) 
fastEthernet0/0 
fastEthernet0/1 
(5) 使 用 PC0 ping DHCP， 测 试 IPv6 网 络 是 否 畅通 。 
PC>ping 2001:3::2 


Ea 


1. IPv6 (Internet Protocol Version 6) 是 网 络 层 协议 的 第 二 代 标 准 协议 ， 也 被 称 为 
(IP Next Generation)， 它 是 Internet 工程 任务 组 (IETF) 设计 的 一 套 规范 ， 
是 IPv4 的 升级 版 本 。IPv6 和 IPv4 之 间 最 显著 的 区 别 就 是 人 P 地 址 的 长 度 从 32 位 


升 为 位 。 
2. IPv6 协议 是 确定 邻居 结 点 之 间 关 系 的 一 组 消息 和 进程 ， 是 一 组 ICMPv6 


(Internet Control Message Protocol for IPv6) 消息 , 管理 着 邻居 结 点 ( 即 同一 链 路 
上 的 结 点 ) 的 交互 。 

3.， 邻居 发 现 协 议 用 高 效 的 和 单 播 消息 代替 了 、ICMPv4 路 由 器 发 现 
(Router Discovery) 和 ICMPv4 重 定向 (Redirect) 消息 ， 并 提供 了 一 系列 其 他 功 
能 。 

4. ”未 来 获得 IPv4 地 址 会 越 来 越 难 ，IPv4 地 址 已 变 成 一 种 稀缺 资源 ， 而 互联 网 仍然 
在 高 速 发 展 ，NAT 是 一 个 重要 的 解决 方案 但 NAT 存在 一 些 弊 端 ， 如 NAT 破坏 


了 人 IP 的 _ 模型 、 NAT 阻止 了 、NAI 的 效率 。 

5. JIPv6 主要 有 三 种 地 址 : y . 

6. 单 播 只 能 进行 一 对 一 的 传输 ， 它 只 能 识别 一 个 接口 ， 并 将 报 文 传输 到 此 地 址 。 但 
是 ，IPv6 单 播 地址 的 类 型 可 有 多 种 ， 包 括 i 和 & 

7. IPv6 地 址 中 的 64 位 IEEE eui-64 格式 接口 标识 符 (InterfaceID〉 用 来 标识 链 路 上 
的 一 个 唯一 的 接口 。 这 个 地 址 是 从 接口 的 变化 而 来 的 。 

8. ”IPv6 地 址 中 的 接口 标识 符 是 64 位 ， 而 MAC 地 址 是 48 位 ， 因 此 需要 在 MAC 地 
址 的 中 间 位 置 插入 十 六 进 制 数 。 为 了 确保 这 个 从 MAC 地 址 得 到 的 接口 


标识 符 是 唯一 的 ， 还 要 将 UL 位 《从 高 位 开始 的 第 7 位 ) 设置 为 “1”。 最 后 得 到 
的 这 组 数 就 作为 eui-64 格式 的 接口 ID。 
% 是 IPv6 进行 地 址 自动 配置 时 的 一 个 过 程 。 
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10.IPv6 通过 IPv4 网 络 的 隧道 的 类 型 有 : 
11. IPv6 扩展 报头 包括 ， 路 由 项 、 、 逐 跳 选 项 、 目 的 
选项 。 
12， 下 列 选项 中 是 本 地 站 点 地 址 所 用 的 地 址 前 缀 。 
A. 2001::/10 
B. FE80::/10 
C.FEC0::/10 
D. 2002::/10 
13. 构架 在 IPv4 网 络 上 的 两 个 IPv6 孤岛 互联 ， 一 般 会 使 用 __ 技术 解决 。 
A.ISATAP 隧道 
B. 配置 隧道 
C. 双 栈 
D. GRE 隧道 
14. 关于 链 路 本 地 地 址 ， 下 面 说 法 正确 的 是 。 
A. 是 一 种 单 播 受 限 地 址 ， 本 地 链 路 内 使 用 
B. 格式 前 级 为 1111 1110 10 
C. 链 路 本 地 地 址 可 用 于 邻居 发 现 ， 且 总 是 自动 配置 的 
D. 包含 链 路 本 地 地 址 的 包 永 远 也 不 会 被 IPv6 路 由 器 转发 
15.， 关 于 本 地 站 点 地 址 ， 下 面 说 法 正确 的 是 ___。 
A. 单 播 受 限 地 址 ， 限 于 站 点 内 使 用 
B. 格式 前 缀 为 1111 1110 11 
C. 本 地 站 点 地 址 总 是 自动 配置 的 
D. 相当 于 172.16.0.0/12 和 192.168.0.0/16 等 IPv4 私 用 地 址 空间 
16. 关于 组 播 地 址 ， 下 面 说 法 正确 的 是 __。 
A.IPv6 多 点 传送 地 址 格式 前 级 为 1111 1111 
B. 除 前 缘 ， 多 播 地址 还 包括 标志 、 范 围 域 和 组 ID 字段 
C. 标志 位 4 位 ， 高 三 位 保留 ， 初 始 化 成 0， 第 一 位 为 0， 表 示 一 个 被 IANA 永久 
分 配 的 组 播 地 址 ， 为 1 则 表示 一 个 临时 的 多 点 传送 地 址 
D. 范围 域 4 位 ， 是 一 个 多 点 传送 范围 域 ， 用 来 限制 组 播 的 范围 
17. 简要 描述 PMTU 发 现 的 工作 过 程 。 
18. 简 述 IPv6 主机 无 状态 地 址 配置 的 过 程 。. 
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1Pv6 [有 
习题 答案 
IPng、128 
邻居 发 现 
组 播 、ARP 
端 到 端 、 端 到 端的 网 络 安全 
TLA 地 址 、NLA、SLA 
全 球 单 播 地 址 、 链 路 本 地 地 址 、 站 点 本 地 地 址 
MAC 
FFFE 
无 状态 的 自动 配置 
10. 6to 4 隧道 、ISATAP 隧道 、NAT-PT 
11. 分 段 、 认 证 、 安 全 封装 
12: :€ 


i 


:iD 

、B、D 

去 5 向 

17. PMTU 发 现 的 工作 过 程 是 : 源 端 主机 先 使 用 自己 的 MTU 值 向 目的 主机 发 送 报 文 ， 
如 果 中 间 路 由 器 给 源 端 返回 一 个 错误 消息 ， 则 源 端 主机 使 用 更 小 的 MTU 值 来 重 
新 发 送 这 个 报 文 ， 如 此 反复 ， 直 到 目的 端 主机 收 到 这 个 报 文 ， 从 而 确定 网 络 中 两 
台 主 机 之 间 能 够 处 理 的 最 大 报 文 的 大 小 。 在 确定 这 个 报 文 大 小 后 ， 这 条 路 径 上 的 
所 有 结 点 

18. 简 述 IPv6 主机 无 状态 地 址 配置 的 过 程 
生成 链 路 本 地 地 址 一 发 送 多 播 邻接 点 请 求 报 文 一 c 是 否 收 到 回应 
停止 地 址 自动 配置 
初始 化 链 路 本 地 地 址 一 发 送 路 由 器 请 求 报 文 一 收 到 路 由 器 回应 报 文 ， 进 行 设置 一 
生成 无 状态 地 址 前 级 + 接口 ID 一 发 送 多 播 邻 接点 请 求 报 文 一 是 否 收 到 回应 一 停止 
自动 配置 
初始 化 无 状态 地 址 。 


A 
A 
A 
A 
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本 章 为 大 家 介绍 广域网 使 用 的 协议 ， 重 点 讲授 广域网 协议 HDLC、PPP 和 帧 中 继 协 议 ， 
同时 还 会 介绍 VPN 的 配置 、 使 用 Windows Server 2003 配置 为 远程 访问 服务 器 。 

本 章 主要 内 容 : 

， ”广域网 与 局 域 网 的 区 别 
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计算 机 网 络 (修订 版 ) 


EE ms 


现在 对 比 介 绍 广域网 和 局 域 网 , 以 下 的 介绍 没有 严格 从 这 两 个 词 的 原始 定义 和 原始 意思 
来 解释 。 当 代 技 术 使 得 这 一 定义 变 得 不 是 很 清晰 。 
" ”局域网 (Local Area Network，LAN) 是 指 在 某 一 区 域内 由 多 人 台 计 算 机 互联 成 的 计 
算 机 组 。 一 般 企业 或 机 构 自己 购买 设备 , 将 物理 位 置 较 近 的 办 公 区 的 计算 机 使 用 网 
络 设备 连接 起 来 , 绑 盖 范 围 在 几 千 米 以 内 。 局 域 网 使 用 的 网 络 设备 有 集线器 或 交换 
机 ， 带 宽 为 10M、100M、1000M 几 个 标准 ， 而 使 用 无 线 连接 的 局 域 网 带宽 标准 为 
S4M。 

=。 ”广域网 (Wide Area Network， 简 称 WAN) 是 一 种 跨越 大 的 、 地 域 性 的 计算 机 网 络 
的 集合 。 由 专业 的 Internet 服务 器 提供 商 〈ISP) 网 通 或 电信 提供 广域网 连接 。 比 如 
你 公司 需要 将 石家庄 一 个 办 事 处 的 局 域 网 和 北京 总 公司 的 网 络 连 接 起 来 , 你 公司 不 
会 找 施工 队 架 设 和 维护 石家庄 到 北京 的 网 络 线路 。 你 只 需 租 用 网 通 或 电信 的 线路 即 
可 。 广 域 网 的 带宽 由 企业 所 付 的 费用 决定 ， 比 如 我 们 使 用 的 ADSL 就 是 租用 网 通 
或 电信 的 服务 ， 带 宽 有 1M、2M、4M。 

随 着 技术 的 发 展 ,， 广域网 和 局 域 网 的 划分 有 时 候 也 不 是 单纯 从 距离 上 划分 的 。 比 如 你 和 
邻居 都 分 别 使 用 ADSL 访问 Intermet， 当 你 访问 邻居 的 计算 机 共享 文件 或 其 他 资源 的 时 候 ， 
你 的 计算 机 和 邻居 的 计算 机 就 是 广域网 连接 , 因为 你 们 是 通过 租用 网 通 或 电信 提供 的 服务 连 
接 的 ， 你 和 邻居 的 计算 机 如 果 使 用 网 线 直 接连 接 ， 就 是 局 域 网 连接 。 

再 比如 一 个 企业 的 两 栋 大 楼 距离 几 公 里 ， 这 两 栋 大 楼 中 的 局 域 网 通过 公司 的 光纤 连接 ， 
我 们 也 可 以 将 其 理解 为 局 域 网 ， 因 为 没有 租用 网 通 或 电信 提供 的 广域网 链 路 ,也 就 是 没有 使 
用 广域网 技术 。 

简 而 言 之 , 局 域 网 就 是 自己 花 钱 购买 网 络 设备 , 自己 维护 网 络 , 带宽 10M、 100M、 1000M; 
广域网 就 是 花 钱 租用 广域网 线路 , 网 通 或 电信 等 ISP 负责 保证 网 络 的 连通 性 , 带宽 由 费用 决定 。 


11.1.1 广域网 术语 
下 面 介绍 广域网 服务 提供 商 经 常 使 用 的 术语 。 图 11-1 示意 了 广域网 术语 所 指 的 概念 。 


长 途 网 络 


全 图 11-1 广域网 术语 示意 图 
" ”用 户 驻 地 设备 (Customer Premises Equipment，CPE) : 是 用 户 方 拥有 的 设备 ， 位 
于 用 户 驻 地 一 侧 。 
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分 界 点 (Demarcation Point) : 是 服务 提供 商 最 后 负责 点 ， 也 是 CPE 的 开始 。 通 常 
是 最 靠近 电信 的 设备 ， 并 且 由 电信 公司 拥有 和 安装 。 客 户 负责 从 此 盒子 到 CPE 的 
布线 (扩展 分 界 ) ， 通 常 是 连接 到 CSU/DSU 或 ISDN 接口 。 

本 地 环 路 〈Local Looop) : 连接 分 界 点 到 称 为 中 心 局 的 最 近 交 换 局 。 

中 心 局 (Central Office，CO) : 这 个 点 连接 用 户 到 提供 商 的 交换 网 络 ， 有 时 也 指 
呈现 点 (POP) 。 

长 途 网 络 (Toll Network) : 这 些 是 广域网 提供 商 网 络 中 的 中 继 线路 。 它 是 属于 ISP 
的 交换 机 和 设备 的 集合 。 


熟悉 这 些 术 语 非常 重要 ， 因 为 这 是 理解 广域网 技术 的 关键 。 


11.1.2 ”广域网 连接 类 型 


广域网 可 以 使 用 许多 不 同 的 连接 类 型 , 这 部 分 将 介绍 目前 市 场 上 常见 的 各 种 广域网 连接 
类 型 。 可 以 通过 DCE 网 络 将 局 域 网 连接 在 一 起 。 下 面 解释 广域网 连接 类 型 。 


租用 线路 (Leased Lines) : 租用 线路 典型 地 指点 到 点 连接 或 专线 连接 ， 它 是 从 本 
地 CPE 经 过 DCE 交换 机 到 远程 CPE 的 一 条 预先 建立 的 广域网 通信 路 径 。 允 许 
DTE 网 络 在 任何 时 候 不 用 设置 就 可 以 传输 数据 进行 通信 。 当 不 考虑 使 用 成 本 时 ， 

它 是 最 好 的 选择 类 型 。 它 使 用 同步 串 行 线路 ， 速 率 最 高 可 达 45Mb/s。 租 用 线路 通 
常 使 用 HDLC 和 PPP 封装 类 型 ， 下 面 将 会 讲 到 这 两 种 封装 类 型 。 租 用 线路 适用 于 
大 数据 传输 , 数据 流量 恒定 的 环境 。 一 般 建 议 在 连接 时 间 长 、 距离 较 短 的 场合 使 用 ， 
如 图 11-2 所 示 。 

同步 品行 


GS 


全 图 11-2 租用 线路 


电路 交换 (Circuit Switching) : 当 你 听 到 电路 交换 这 个 术语 时 ， 就 想 一 想 电话 呼叫 。 
它 最 大 的 优势 是 成 本 低 一 一 只 需 为 真正 占用 的 时 间 付 费 。 在 建立 端 到 端 连 接 之 前 ， 不 
能 传输 数据 。 一 般 用 在 电话 公司 网 络 中 ， 与 我 们 日 常 拨打 电话 类 似 ， 是 一 种 按 需 拨号 
技术 ， 连 接 时 使 用 专用 物理 线路 ， 也 用 于 备份 连接 、 场 点 规模 小 、 短 时 间 的 访问 。 常 
用 的 连接 方式 有 : 拨号 上 网 、ISDN 和 ADSL， 如 图 11-3 所 示 。 

异步 串 行 ISDN 


电路 交换 


全 图 11-3 电路 交换 
包 交 换 (Packet Switching) : 这 是 一 种 广域网 交换 方法 ， 允 许 和 其 他 公司 共享 带宽 以 
节省 资金 。 可 以 将 包 交 换 想像 为 一 种 看 起 来 像 租 用 线路 ， 但 费用 更 像 电路 交换 的 一 种 
网 络 。 不 利 因素 是 ， 如 果 需 要 经 常 传输 数据 ， 则 不 要 考虑 这 种 类 型 ， 应 当 使 用 租用 线 
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路 ; 如 果 是 偶然 的 突 发 性 的 数据 传输 ， 那 么 包 交 换 可 以 满足 需要 。 帧 中 继 和 X.25 是 包 
交换 技术 ， 速 率 从 56kb/s 到 T3 (45Mb/s) 。 由 于 共享 物理 线路 ; 包 交 换 连 接 的 性 价 比 
较 高 ， 一 般 可 用 于 长 时 间 连 接 或 大 地 域 跨度 连接 ， 如 图 11-4 所 示 。 

同步 串 行 


i 服务 提供 商 


全 图 11-4 包 交 换 网 络 


11.1.3 ”通用 的 广域网 协议 
如 图 11-5 所 示 ，Cisco 支持 HDLC、PPP 和 帧 中 继 。 在 任何 串 行 接口 执行 encapsulation ? 
命令 可 以 证 实 这 一 点 〈 输 出 结果 根据 所 运行 IOS 版 本 的 不 同 而 不 同 )。 


RACconf ig)#interface serial 1/@ 
RACconf ig-if Y#encapsulation ? 


atm-dxi ATM-DXI encapsulation 

bstun Block Serial tunneling CBSTUN>» 
frame-relay Frame Relay networks 

hdlc Serial HDLC synchronous 

laph LAPB (%.25 Level 2» 

ppp Point-to-Point protocol 

sdlc SDLC 


sdlc-primary SDLC Cprimary> 
sdlc-secondary SDLC Csecondary) 


Smds Switched Megabit Data Service 《CSMDS> 
stun Serial tunneling CSTUN>» 
x25 %.25 


全 图 11-5 路 由 器 支持 的 广域网 封装 

如 果 路 由 器 上 有 其 他 类 型 的 接口 ， 那 么 可 以 封装 成 其 他 类 型 ,如 ISDN 或 ADSL。 记 住 ， 
不 能 在 串 行 接口 上 配置 以 太 网 或 令 牌 环 网 封装 。 

在 这 部 分 ， 我 们 将 定义 使 用 最 突出 的 广域网 协议 一 一 帧 中 继 、ISDN、LAPD、 HDLC、 
PPP、 PPPoE、Cable、DSL、MPLS 和 AIM。 但 目前 通常 在 串 行 接口 上 配置 的 广域网 协议 
只 有 HDLC、 PPP 和 帧 中 继 。 

当前 广大 网 民 访 问 Internet 使 用 最 多 的 接 入 方式 是 ADSL 接 入 ， 通 过 现 有 的 电话 线路 作 
为 Intemet 的 接 入 线路 ， 使 用 的 协议 为 PPPoE。 

" ”ADSL 同时 支持 语音 和 数据 的 传输 ， 它 为 下 行 流 分 配 更 多 的 带宽 。 家 庭 用 户 通常 执行 

的 操作 〈 如 下 载 视 频 、 电 影 和 音乐 ， 在 线 游戏 ， 网 上 冲浪 和 查看 E-mail， 下 载 较 大 的 
附件 ) 都 需要 更 大 的 下 行 流 带宽 。ADSL 的 下 载 速度 在 236kb/s 一 8Mb/s， 但 上 传 速度 只 
能 达到 1Mb/s。 

= ”PPPOE (以 太 网 上 的 点 到 点 协议 ) 和 ADSL 服务 一 起 使 用 ,， 它 将 PPP 帧 封装 成 以 太 帧 ， 
并 使 用 PPP 的 一 些 如 认证 、 封 装 和 压缩 等 常用 特征 。 但 如 前 所 述 ， 防 火 墙 配置 差 会 很 
麻烦 。 有 一 个 隧道 协议 可 以 将 下 协议 和 其 他 协议 分 层 , 根据 PPP 链接 的 特性 运行 PPP 
协议 ， 从 而 连接 上 其 他 的 以 太 网 设备 并 初始 化 点 到 点 连接 来 传输 下 包 。 


回国 EE 


Cisco 串 行 连接 几乎 支持 广域网 服务 的 任何 类 型 。 典 型 的 广域网 连接 是 使 用 HDLC、PPP 
和 帧 中 继 的 专线 ， 其 速度 可 高 达 45Mb/s(T3)。HDLC、PPP 和 帧 中 继 可 以 使 用 相同 的 物理 
层 规范 。 


11.2.1 HDLC 


HDLC， 高 级 数据 链 路 控制 协议 (High-Level Data-Link Control Protocol) 是 流行 的 ISO 
标准 的 、 面 向 位 的 数据 链 路 层 协议 。 它 使 用 帧 特性 、 校 验 和 规定 数据 在 同步 串 行 数据 链 路 上 
的 封装 方法 。HDLC 是 一 种 用 于 租用 线路 的 点 到 点 协议 。 没 有 任何 认证 可 以 用 于 HDLC。 

在 面向 字 节 的 协议 中 ， 用 整个 字 节 对 控制 信息 进行 编码 ， 另 一 方面 ， 面 向 位 的 协议 可 能 
使 用 单个 位 代表 控制 信息 (面向 位 的 协议 包括 SDLC、LLC、HDLC、TCP、 了 人 P 等 )。 

HDLC 是 Cisco 路 由 器 在 同步 串 行 线 路 上 的 默认 封装 方式 。Cisco 的 HDLC 是 专用 的 一 一 
不 能 和 其 他 厂商 的 HDLC 通信 。 但 是 不 要 为 此 抱怨 Cisco， 每 个 厂商 的 HDLC 都 是 专用 的 。 
图 11-6 显示 了 Cisco 的 HDLC 格式 。 

每 个 厂商 都 有 一 种 专用 的 HDLC 封装 方式 的 原因 是 ， 每 个 厂商 解决 HDLC 和 网 络 层 协议 
通信 时 采用 了 不 同 的 方法 。 如 果 厂 商 没 有 办 法 解决 HDLC 和 不 同 的 第 3 层 协议 的 通信 问题 ， 
那么 HDLC 只 能 携带 一 种 协议 。 这 个 标识 协议 属性 的 报头 位 于 HDLC 封装 的 数据 字段 中 。 

如 果 你 只 有 一 台 Cisco 路 由 器 ， 需 要 连接 到 一 台 非 Cisco 的 路 由 器 (因为 男 一 台 Cisco 
路 由 器 正在 订购 中 ), 该 怎么 办 呢 ? 不 能 使 用 默认 的 HDLC 串 行 封装 ,因为 它 不 能 正常 运行 。 
你 应 当 使 用 像 PPP 这 样 的 能 识别 上 层 协议 的 ISO 标准 的 封装 方式 。 

Cisco HDLC 


数据 | 帧 核验 序列 〈Fcs) 
* 每 个 厂商 的 HDLC 都 有 一 个 专用 的 数据 字段 以 支持 协议 环境 
HDLC 


标志 | 地 址 | 控制 | 数据 | 帧 核验 序列 (Fcs》 
* 只 支持 一 个 协议 环境 


标志 | 


全 图 11-6 HDLC 格式 
配置 广域网 接口 使 用 HDLC 封装 


打开 随 书 光盘 中 第 11 章 练习 “01 配置 广域网 接口 使 用 HDLC 封装 .pkt”， 网 络 拓扑 如 
图 11-7 所 示 。RouterA 和 RouterB 之 间 使 用 串口 连接 ， 你 需要 配置 广域网 链 路 使 用 HDLC 
封装 。 


325 


英 基 
计算 机 网 络 (修订 版 ) 


172. 16.1. 0724 
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B® 
Se3/0 Router-PT 


Router-PT ©3e2/0 HDLC RouterB 
RouterA 


全 图 11-7 配置 HDLC 封装 
(1) 配置 RouterA 广域网 接口 Serial 2/0 使 用 HDLC 封装 。 
RouterRA>en 
RouterRA#config 七 
RouteRA (config) #interface Serial 2/0 
RouterRA (config-if) #clock rate 64000 
RouterA (config-if) #no sh 
RouterRA (config-if) #ip address 172.16.1.1 255.255.255.0 
RouterRA (config-if) #encapsulation ? -查看 广域网 接口 支持 的 封装 类 型 


frame-relay Frame Relay networks 


halc Serial HDLC synchronous 

ppp Point-to-Point protocol 
RouterA (config-if) #encapsulation hdlc 一 -配置 接口 使 用 HDLC 封装 
真正 的 路 由 器 支持 广域网 封装 类 型 的 很 多 , 但 Packet Tracer 模拟 的 路 由 器 只 支持 这 
三 种 。 


(2) 在 RouterB 广域网 接口 Serial 3/0 使 用 HDLC 封装 。 
RouterB (config) # 
RouterB (config) #interface Serial 3/0 
RouterB (config-if) #ip address 172.16.1.2 255.255.255.0 
RouterB (config-if) #encapsulation hdlc 
RouterB (config-if) #no shutdown 
RouterB (config-if) #exit 
RouterB (config) #exit 
RouterB#show interfaces Serial 3/0 
Serial3/0 is up,line protocol is up (connected) 
Hardware is HD64570 
Internet address is 172.16.1.2/24 
MTU 1500 bytes,BW 128 Kbit,DLY 20000 usec 
reliability 255/255,txload 1/255, rxload 1/255 


Encapsulation HDLC,1oopback not set,keepalive set (10 sec) 
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其 中 ， 第 一 个 up 代表 物理 接口 ap， 第 二 个 up 代表 数据 链 路 层 up。 如 果 广 域 网 接 
口 两 端 封装 不 一 致 ， 则 会 出 现 Serial3/0 is up,line protocol is down (connected)。 可 


以 看 到 封装 类 型 为 HDLC。 


11.2.2 点 到 点 PPP 


PPP (Point-To-Point Protocol, 点 到 点 协议 ) 可 以 用 于 异步 串 行 (拨号 ) 或 同步 串 行 (ISDN) 
介质 。 它 使 用 LCP (Link Control Protocol， 链 路 控制 协议 ) 建立 并 维护 数据 链 路 连接 。NCP 
(Network Control Protocol， 网 络 控制 协议 ) 允许 在 点 到 点 连接 上 使 用 多 种 网 络 层 协议 (被 


动 路 由 协议 )， 如 图 11-8 所 示 。 

既然 HDLC 是 Cisco 串 行 链 路 上 默认 的 
串 行 封装 协议 ， 并 且 HDLC 的 性 能 非常 好 ， 
那么 什么 时 候 使 用 PPP 呢 ? PPP 的 基本 目标 
是 在 数据 链 路 层 点 到 点 链 路 上 传输 第 3 层 
包 。 它 不 是 一 个 专用 协议 ， 这 意味 着 如 果 你 
的 路 由 器 并 不 都 是 Cisco 的 ， 在 串 行 接 口上 
就 需要 封装 PPP， 由 于 HDLC 是 Cisco 专用 
协议 ,所 以 封装 HDLC 后 不 会 正确 运行 。 另 
外 , 既然 PPP 可 以 封装 多 种 第 3 层 被 动 路 由 
协议 ， 并 且 提供 认证 、 动 态 寻 址 以 及 回 叫 功 
能 ， 那 么 这 些 都 是 放弃 HDLC 而 选择 PPP 
作为 封装 方案 的 理由 。 

PPP 包含 的 4 个 主要 组 件 如 下 。 


3 上 层 协议 
(如 IP、IPX、AppleTalk) 


网 络 控制 协议 〈NCP) 


《针对 每 一 个 网 络 层 协 议 ) 


高 级 数据 链 路 控制 协议 〈HDLC) 
物理 层 
(如 EIA/TIA-232-C、V.24、V.35 ISDN) 


全 图 11-8 PPP 协议 层次 


" ”EIA/TIA-232-C、V.24、V.35 和 ISDN 串 行 通信 的 物理 层 国际 标准 。 
”在 串 行 链 路 上 封装 数据 包 的 方法 一 HDLC。 
" 建立、 配置 、 维 护 和 结束 点 到 点 连接 的 方法 一 一 LCP。 
" ”建立 和 配置 不 同 网 络 层 协议 的 方法 一 一 NCP。NCP 设计 允许 同时 使 用 多 个 网 络 层 协 议 。 
例如 有 些 协 议 是 IPCP (Internet Protocol Control Protocol， 因 特 网 协议 控制 协议 ) 和 
IPXCP (Intemetwork Packet Exchange Control Protocol， 互 联网 络 包 交换 控制 协议 ) 。 
理解 PPP 协议 栈 只 是 物理 层 和 数据 链 路 层 的 规范 非常 重要 。NCP 通过 对 PPP 数据 链 路 
上 的 协议 进行 封装 来 允许 在 多 种 网 络 层 协 议 之 间 实 现 通信 。 


如 果 当 一 台 Cisco 路 由 器 和 一 台 非 Cisco 路 由 器 通过 串 行 连接 在 一 起 ， 必 须 配置 


PPP 或 另 一 种 封装 方法 ， 像 帧 中 继 ， 因 为 默认 的 HDLC 不 能 工作 ! 


下 面 将 讨论 LCP 和 PPP 会 话 的 建立 。 
1) LCP 的 配置 选项 


LCP 提供 各 种 PPP 封装 选项 ， 包 括 如 下 内 容 。 
" ”Authentication (认证) : 该 选项 告诉 链 路 的 呼叫 方 发 送 可 以 确定 其 用 户 身份 的 信息 。 
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两 种 方法 是 PAP (Password Authentication Protcol, 密码 认证 协议 ) 和 CHAP (Challenge 
Handshke Authentication， 问 答 握手 认证 协议 ) 。 

" Compression《〈 压 缩 ): 该 选项 用 于 通过 传输 之 前 压缩 数据 或 负载 来 增加 PPP 连接 的 吞 
吐 量 。PPP 在 接收 端 解压 数据 帧 。 

”Eror Detection (错误 检测 ) : PPP 使 用 Quality (质量 ) 和 Magic Number (魔术 号 码 ) 
选项 确保 可 靠 的、 无 环 路 的 数据 链 路 。 

"Multilink (多 链 路 ) : 从 IOS 11.1 版 本 开始 ，Cisco 路 由 器 在 PPP 链 路 上 支持 多 条 链 路 
选项 。 该 选项 允许 几 条 不 同 的 物理 路 径 在 第 3 层 表现 为 一 条 逻辑 路 径 。 例如 ,运行 PPP 
多 链 路 的 两 条 T1 线路 在 第 3 层 路 由 协议 中 以 一 条 3Mb/s 路 径 的 形式 出 现 。 

" PPP callback (PPP 回 叫 ) : PPP 可 以 配置 为 认证 成 功 后 进行 回 叫 。PPP 回 叫 对 于 账户 
记录 或 各 种 其 他 原因 是 一 个 很 好 的 功能 ， 因 为 可 以 根据 访问 费用 跟踪 使 用 情况 。 启 动 

回 叫 后 ， 呼 叫 路 由 器 〈 客 户 端 ) 将 和 远程 路 由 器 〈 服 务 器 端 ) 取得 联系 ， 并 像 前 面 描 

述 的 那样 进行 认证 。 两 台 路 由 器 必须 都 配置 回 叫 。 一 旦 完成 认证 ， 远 程 路 由 器 将 中 断 

连接 ， 并 从 远程 路 由 器 重新 初始 化 到 呼叫 路 由 器 的 连接 。 


说 如 果 在 PPP 回 叫 中 使 用 的 是 Microsoft 设备 ， 要 意识 到 Microsoft 可 能 使 用 它 专 


明 用 的 回 叫 功能 ， 即 微软 回 叫 控制 协议 ( Microsoft Callback Control Protocol， 
MCCP )， 并 且 IOS 11.3 以 上 版 本 是 支持 这 种 回 叫 协议 的 。 


2) PPP 会 话 的 建立 

当 PPP 连接 开始 时 ， 链 路 经 过 以 下 3 个 会 话 建立 阶段 。 

= 链 路 建立 阶段 : 每 台 PPP 设备 发 送 LCP 包 来 配置 和 测试 链 路 。LCP 包 包 括 一 个 叫 “ 配 
置 选项 ”的 字段 ， 人 允许 每 台 设备 查看 数据 的 大 小 、 压 缩 和 认证 。 如 果 没 有 设置 “配置 
选项 ”字段 ， 则 使 用 默认 配置 。 

" ”认证 阶段 ， 如 果 配 置 了 认证 ， 在 认证 链 路 时 可 以 使 用 CHAP 或 PAP。 认 证 发 生 在 读 取 
网 络 层 协议 信息 之 前 ， 同 时 可 能 发 生 链 路 质量 决策 。 

=” 网络 层 协议 阶段 : PPP 使 用 NCP 协议 ， 允 许 封装 成 多 种 网 络 层 协议 并 在 PPP 数据 链 路 
上 发 送 。 每 个 网 络 层 协议 (例如 也、IPX、AppleTalk 这 些 被 动 路 由 协议 ) 都 建立 和 NCP 
的 服务 关系 。 

3) PPP 认证 方法 

PPP 链 路 可 以 使 用 以 下 两 种 认证 方法 。 

" ”PAP: PAP 是 两 种 方法 中 安全 程度 较 低 的 一 种 。 口 令 以 明文 发 送 ， 并 且 PAP 只 在 初始 
链 路 建立 时 执行 。 在 PPP 链 路 首次 建立 时 ， 远 程 结 点 向 发 送 路 由 器 回 送 路 由 器 用 户 名 
和 口令 ， 直 到 获得 认证 。 

" CHAP: CHAP 用 于 链 路 初始 启动 ， 并 且 为 了 证 实 路 由 器 连接 的 仍然 是 同一 台 主 机 ， 要 
进行 周期 性 的 链 路 检查 。 
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PPP 结束 了 初始 阶段 后 ， 本 地 路 由 器 向 远程 设备 发 送 一 个 盘问 请 求 。 远 程 设备 发 送 一 个 
用 叫做 MDS5 的 单方 向 散 列 函数 计算 出 来 的 值 。 本 地 路 由 器 要 检查 此 散 列 值 ， 确 定 它 是 否 匹 
配 。 如 果 这 个 值 不 匹配 ， 该 链 路 立即 结束 。 

配置 广域网 接口 使 用 PPP 封装 

打开 随 书 光盘 中 第 11 章 练习 “02 配置 广域网 接口 使 用 PPP 封装 .pkt”， 网 络 拓扑 如 图 
11-9 所 示 。 你 需要 配置 RouterA 和 RouterB 之 间 的 连接 使 用 PPP 封装 ， 共 享 密 钥 为 Todd， 


配置 RouterB 和 RouterC 之 间 的 连接 使 用 PPP 封 装 , 共享 密 钥 为 Cisco,PPP 认证 方法 为 CHAP， 
并 且 诊 断 PPP 认证 的 过 程 。 


FFP 封 装 
共享 密 钥 Ci 
PFI 封装 享 密 钥 Cisco ， 
共享 密 胃 Toat 。 。 
Se3/0 
Se3/0 人 Sea270 Router-PT 
Router-PT RouterC 
Router-PT ©5e2/0 RowaB Vai 


RouterA 172. 16. 1.0/24 


RouterC (confie)#username RouterC password Cisco 
RouterC (confie)#interface serial 3/0 
RouterC (confie-if)#encapsulation ppp 
RouterC (confie-if)#ppp authentication chap 


RouterA (confie)#username RouterB password Todd 
RouterA (confie)#interface serial 2/0 

Routerh (confie-if)#encapsulation ppp 

RouterA (confie-if)#ppp authentication chap 


RouterB (config)#username Router 上 password Todd 
RouterB (confie)#interface serial 3/0 

RouterB (config-if)#encapsulation ppp 

RouterB (confie-if)#ppp authentication chap 


RouterB (confie)#username RouterC password Cisco 
RouterB (confie)#interface serial 2/0 


RouterB (confie-if)#encapsulation ppp 
RouterB (confie-if) authentication chal 


全 图 11-9 配置 PPP 封装 
(1) 在 RouterA 上 配置 和 RouterB 连接 的 PPP 封装 和 共享 密 钥 。 
RouterRA (config) #interface Serial 2/0 
RouterRA (config-if) #clock rate 64000 
RouterA (config-if) #ip address 172.16.1.1 255.255.255.0 
RouterRA (config-if) #no sh 
Routera (config-if) #encapsulation ppp 一 -配置 使 用 PPP 封装 
RouterA (config-if) #ppp authentication ?  -- 查 看 支持 的 认证 方法 
chap Challenge Handshake Authentication Protocol <CHAP> 


pap Password Authentication Protocol <PAP> 
RouterRA (config-if) #ppp authentication chap 
RouterA (config-if) #ex 


RouterRA (config) #username RouterB password Todd 
329 


莫 基 
计算 机 网 络 (修订 版 ) 


330 


=-- 配 置 和 RouterB 路 由 器 的 共享 密 钥 
(2) 在 RouterB 上 查看 串口 默认 的 数据 封装 类 型 和 接口 状态 。 
RouterB (config) #interface Serial 3/0 
RouterB (config-if) #ip address 172.16.1.2 255.255.255.0 
RouterB (config-if) #no sh 
RouterB (config-if) #^2Z 
RouterB #show interfaces Serial 3/0 
Serial3/0 is up,line protocol is down (disabled) 
一 -协议 down， 两 端 封装 不 一 致 
Hardware is HD64570 
Internet address is 172.16.1.2/24 
MTU 1500 bytes,BW 128 Kbit,DLY 20000 usec, 
reliability 255/255,txload 1/255,rxload 1/255 
Encapsulation HDLC,1oopback not set,keepalive set (10 sec) 
=-- 默 认为 HDLC 封装 
(3) 在 RouterB 上 配置 和 RouterA 连接 的 封装 类 型 为 PPP。 
RouterB (config) #interface Serial 3/0 
RouterB (config-if) #encapsulation ppp -- 配 置 为 PPP 封装 
RouterB (config-if) #^2 -- 按 Ctrl+C 组 合 键 ， 退 回 到 特权 模式 
(4) 在 RouterB 上 查看 和 RouterA 连接 PPP 协议 的 状态 。 
RouterB#show interfaces Serial 3/0 
Serial3/0 is up,line protocol is down (disabled) 
Hardware is HD64570 
Internet address is 172.16.1.2/24 
MTU 1500 bytes,BW 128 Kbit,DLY 20000 usec， 
reliability 255/255,txload 1/255, rxload 1/255 
Encapsulation PPP, Loopback not set,keepalive set (10 sec) --PPP 封装 
LCP Closed -- 链 路 控制 协议 关闭 ， 没 有 配置 和 RouterR 的 共享 密码 
Closed: LEXCP,BRIDGECP,IPCP,CCP,CDPCP,LLC2,BACP  -- 网 络 层 协 议 均 关 闭 
(5) 在 RouterB 上 配置 和 RouterA 的 共享 密码 。 
RouterB (config) #username RouterA password Todd 
=-- 配 置 和 Routera 的 共享 密码 
$LINEPROTO-5-UPDOWN: Line protocol on Interface Serial3/0, changed state 
to up 接口 状态 变 为 up 
(6) 在 RouterB 上 查看 和 RouterA 连接 的 端口 状态 。 


RouterB#show interfaces Serial 3/0 


Serial 3/0 is up,line protocol is up (connected)  -- 数 据 链 路 层 up 
Hardware is HD64570 
Internet address is 172.16.1.2/24 
MTU 1500 bytes,BW 128 Kbit,DLY 20000 usec, 
reliability 255/255,txload 1/255,rxload 1/255 
Encapsulation PPP,1loopback not set, keepalive set (10 sec) 
LCP Open =-- 链 路 控制 协议 打开 
Open: IPCP,CDPCP -- 支 持 的 网 络 层 协议 打开 
(7) 在 RouterB 上 配置 和 RouterC 共享 的 密码 和 封装 类 型 。 
RouterB (config) #interface Serial 2/0 
RouterB (config-if) #clock rate 64000 
RouterB (config-if) #no sh 
RouterB (config-if) #ip address 172.16.2.1 255.255.255.0 
RouterB (config-if) #encapsulation ppp 
RouterB (config-if) #ppp authentication chap 
RouterB (config-if) #ex 
RouterB (config) #username RouterC password Cisco 
(8) 在 RouterC 上 配置 和 RouterB 的 共享 密码 和 封装 类 型 。 
RouterC (config) #interface Serial 3/0 
RouterC (config-if) #ip address 172.16.2.2 255.255.255.0 
RouterC (config-if) #no sh 
RouterC (config-if) #encapsulation ppp 
RouterC (config-if) #ppp authentication chap 
RouterC (config-if) #ex 
RouterC (config) #username RouterB password Cisco 
(9) 在 RouterA 上 诊断 PPP 认证 。 
RouterA#debug ppp authentication 
RouterA#config 七 
RouterA (config) #interface Serial 2/0 
RouterRA (config-if) #shutdown 一 -禁用 接口 
Routera (config-if) #no shutdown 一 -启用 接口 ， 可 以 看 到 PPP 验证 的 过 程 
SLINK-5-CHANGED: Interface Serial 2/0,changed state to up 
Serial 2/0 IPCP: I CONFREQ [Closed] id 1 len 10 
Serial 2/0 IPCP: O CONFACK [Closed] id 1 len 10 
Serial 2/0 IPCP: I CONFREQ [REQsent] id 1 len 10 


Serial 2/0 IPCP: O CONFACK [REQsent] id 1 len 10 
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11.2.3” 帧 中 继 


帧 中 继 已 成 为 近 几 十 年 广域网 服务 最 流行 的 技术 之 一 。 它 受 欢迎 有 很 多 的 原因 ,但 主要 
是 由 于 费用 较 低 。 帧 中 继 比 其 他 技术 更 节省 费用 ， 这 是 网 络 设计 不 可 忽略 的 因素 。 


1. 帧 中 继 简介 


帧 中 继 默认 情况 下 属于 非 广 播 多 路 访问 (None Broadcast MultiAccess ，NBMA) 网 
络 ， 意 思 是 默认 情况 下 不 在 网 络 上 发 送 像 RIP 更 新 这 样 的 广播 包 。 将 在 后 面 进一步 讨论 
这 个 特性 。 

帧 中 继 是 从 X.25 技术 发 展 来 的 。 考 虑 到 目前 可 靠 性 和 比较 “清洁 ”的 电信 网 络 ， 帧 中 
继 本 质 上 和 X.25 的 功能 是 不 相 容 的 ， 忽 略 了 不 再 需要 的 纠 错 功能 。 dh HDLC 和 PPP 协 
议 中 学 到 的 简单 租用 线路 网 络 相 比 显得 非常 复杂 。 这 些 租用 线路 是 易于 构建 的 ， 帧 中 继 却 不 
是 。 它 可 能 非常 复杂 和 多 变 ， 这 就 是 为 什么 在 网 络 图 形 中 经 常用 “网 云 ” 代 表 它 的 原因 。 后 
面 将 会 介绍 它 。 这 里 将 从 概念 上 介绍 帧 中 继 ， 并 介绍 如 何 区 别 它 和 简单 的 租用 线路 技术 。 

在 CCNA 考试 中 ， 要 求 你 理解 帧 中 继 技术 的 基本 原理 ， 并 能 够 在 简单 的 场景 中 进行 配 
署 。 首 先 理解 帧 中 继 是 包 交换 技术 。 从 目前 学 到 的 知识 来 看 ， 只 告诉 你 这 一 点 应 当 使 你 想起 
和 包 交 换 有 关 的 几 件 事情 。 

a ”不 能 使 用 encapsulation hdlc 或 encapsulation ppp 命令 进行 配置 。 

" ， 帧 中 继 和 点 到 点 租用 线路 不 一 样 〈 尽 管 可 以 做 到 ， 看 起 来 像 租 用 线路 ) 。 

" ， 帧 中 继 在 许多 情况 下 没有 租用 线路 昂贵 ， 但 是 为 了 节省 费用 会 有 些 损失 。 

1) 数据 链 路 连接 标识 符 

帧 中 继 PVC 使 用 数据 链 路 连接 标识 符 (Data Link Connection Identity, DLCI) 标识 DTE 
设备 。 帧 中 继 服 务 提 供 商 分 配 DLCI 值 ， 帧 中 继 用 DLCI 值 区 分 网 络 上 的 不 同 虚 电 路 。 因 为 
在 一 个 多 点 帧 中 继 接口 上 可 以 有 多 个 虚 电 路 ， 所 以 这 种 接口 可 以 有 多 个 DLCI。 

2) 虚 电 路 

帧 中 继 使 用 虚 电路 工作 方式 ， 所 谓 “ 虚 ”是 相对 于 租用 线路 使 用 的 真正 电路 而 言 的 。 这 
些 虚 电路 是 由 连接 到 提供 商 “ 网 云 ” 上 的 几 千 台 设备 构成 的 链 路 。 帧 中 继 为 两 台 DTE 设备 
之 间 建 立 的 虚 电 路 ， 使 它们 就 像 通过 一 条 电路 连接 起 来 一 样 ， 实 际 上 是 将 帧 放 入 一 个 很 大 的 
共享 设施 中 。 因 为 有 了 虚 电 路 ， 你 永远 都 不 会 看 到 “网 云 ” 内 部 所 发 生 的 复杂 操作 。 

有 两 种 虚 电 路 一 一 永久 虚 电 路 和 交换 虚 电 路 。 

永久 虚 电 路 (Permanent Virtual Circuits，PVC) 是 目前 最 常用 的 类 型 。 永 久 的 意思 是 电 
信 公 司 在 内 部 创建 映射 ， 并 且 只 要 你 付费 ， 虚 电路 就 一 直 有 效 。 

交换 虚 电 路 Switch Virtual Circuits，SVC) 更 像 电话 呼 叫 。 当 数据 需要 传输 时 ， 建 立 虚 
电路 ;数据 传输 完成 后 ， 拆 除 虚 电路 。 

3) 子 接口 

正如 前 面 讲 过 的 ， 可 能 在 一 个 串 行 接口 上 有 多 条 虚 电 路 ,并 且 将 每 条 虚 电路 视 为 一 个 单 
独 的 接口 ， 它 被 认为 是 子 接口 。 可 以 将 子 接口 想象 为 一 个 由 IOS 软件 定义 的 逻辑 接口 。 多 个 
子 接口 将 共享 一 个 物理 硬件 接口 ， 但 为 了 配置 ， 把 它们 想象 为 单独 的 物理 接口 〈 称 为 复 用 )。 
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若 想 将 帧 中 继 网 络 中 的 路 由 器 配置 为 避免 水 平分 割 阻止 路 由 更 新 ， 可 以 为 每 条 PVC 配 
置 多 个 子 接口 ， 并 且 为 每 个 子 接口 分 配 唯一 的 DLCI 和 子 网 地 址 。 

可 以 用 interface Sel/0.1 这 样 的 命令 定义 子 接口 。 首 先 必 须 在 物理 串 行 接口 上 设置 封装 
类 型 ， 然 后 定义 子 接口 。 一 般 一 个 子 接口 定义 一 条 PVC。 


点 子 接口 需要 自己 的 子 网 。 
多 点 : 当 路 由 器 位 于 星 状 虚 电 路 的 中 心 时 ， 使 用 多 点 子 接口 。 所 有 连接 到 帧 中 继 交 换 机 
上 的 路 由 器 接口 都 使 用 同一 个 子 网 。 


2. 帧 中 继 配 置 实例 


下 面 通过 Packet Tracer 软件 搭建 帧 中 继 实验 环境 , 为 大 家 介绍 使 用 帧 中 继 连 接 多 个 局 域 
网 、 配 置 路 由 器 广域网 接口 使 用 帧 中 继 封装 ， 以 及 如 何在 一 个 路 由 器 的 物理 接口 配置 子 接口 
支持 多 条 虚拟 电路 的 过 程 。 

打开 随 书 光盘 中 第 11 章 练习 “03 帧 中 继 配置 实例 pkt”， 网 络 拓扑 如 图 11-10 所 示 。 某 
公司 的 总 公司 在 北京 ,石家庄 和 天 津 有 分 公司 ， 使 用 帧 中 继 网 络 将 3 个 城市 的 网 络 连接 。 现 
在 需要 你 配置 这 些 路 由 器 和 帧 中 继 实 现 以 下 功能 。 

" ”配置 图 11-9 中 的 3 个 路 由 器 使 用 帧 中 继 连接 。 

”逻辑 上 实现 北京 、 石 家 庄 和 天 津 3 个 路 由 器 全 互联 。 

， ”配置 网 络 中 的 路 由 器 使 用 EIGRP 协议 学 习 到 各 个 网 络 的 路 由 。 

”验证 广域网 配置 。 

1) 物理 连接 拓扑 

物理 连接 拓扑 如 图 11-10 所 示 。 


172.18.0.0116 


本 0110 
192. 168. 2. 1/24 DLCI 31 


All PC3 
ouero 192. 168, 2.2/24 DLCI 21 


29501W4 172.17.0.0/he 
Switd 


人 A 图 11-10 怖 中 继 实 验 物理 拓扑 
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通过 将 连接 帧 中 继 网 络 的 路 由 器 的 串口 配置 为 多 个 子 接口 ， 实 现 北 京 、 石 家 庄 和 天 湾 


个 局 域 网 全 互联 。 
2) 等 价 的 逻辑 连接 
等 价 的 逻辑 拓扑 如 图 11-11 所 示 。 
北京 


172. 18.0.0/16 


人 
PC-PT ce b 
Pon 8: Ro 
172.16.0.0116 GB 


全 图 11-11 帧 中 继 逻 辑 拓扑 
3) 配置 步 又 


址 
Lo 


(1) 在 Router0 上 ， 配 置 路 由 器 广域网 接口 使 用 帧 中 继 封 装 ， 并 且 配 置 子 接口 和 对 应 


的 帧 中 继 DLCI， 以 及 EIGRP 动态 路 由 协议 。 
Router (config) #hostname Router0 
Router0 (config) #interface Serial 0/1/0 


Router0 (config-if) #encapsulation frame-relay 


一 在 物理 接口 配置 封装 帧 中 继 


Router0 (config-if) #no sh 一 -启用 物理 接口 ， 不 要 配置 IP 地 址 


Router0 (config-if) #ex 

Router0 (config) #interface Serial 0/1/0.1 ? -- 进 入 子 接口 
multipoint Treat as a multipoint link 
point-to-point Treat as a point-to-point link 
Cn> 


Router0 (config) #interface Serial 0/1/0.1 point-to-point 


一 -配置 逻辑 子 接口 ， 点 到 点 封装 


SLINK-5-CHANGED: Interface Serial0/1/0.1, changed state to up 


出 
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%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/1/0.1, changed 
state to up 
Router0 (config-subif) #ip address 192.168.3.2 255.255.255.0 
一 -配置 子 接口 TP 地 址 
Router0 (config-subif) #description Link Router0 DLCI 20 
一 -配置 描述 ， 可 选 的 配置 
Router0 (config-subif) #frame-relay interface-dlci 20 
一 -数据 链 路 连接 标识 符 
Router0 (config-subif) #ex 
Router0 (config) #interface serial 0/1/0.2 point-to-point 
Router0 (config-subif) #ip address 192.168.2.2 255.255.255.0 
Router0 (config-subif) #frame-relay interface-dlci 21 
Router0 (config-subif) #exi 
Router0 (config) #router eigrp 10 一 -配置 路 由 协议 
Router0 (config-router) #network 172.16.0.0 
Router0 (config-router) #network 192.168.3.0 
Router0 (config-router) #network 192.168.2.0 
(2) 在 Routerl 上 ， 配 置 路 由 器 广域网 接口 使 用 帧 中 继 封 装 ， 并 且 配 置 子 接口 和 对 应 
的 帧 中 继 DLCI， 以 及 EIGRP 动态 路 由 协议 。 
Router (config) #hostname Routerl 
Routerl (config) #interface Serial 0/1/0 
Routerl (config-if) #encapsulation frame-relay 
Routerl (config-if) #no sh 
Routerl (config-if) #exit 
Routerl (config) #interface serial 0/1/0.1 point-to-point 
Routerl (config-subif) #ip address 192.168.1.2 255.255.255.0 
Routerl (config-subif) #frame-relay interface-dlci 30 
Routerl (config-subif) #ex 
Routerl (config) #interface serial 0/1/0.2 point-to-point 
Routerl (config-subif) #ip address 192.168.2.1 255.255.255.0 
Routerl (config-subif) #frame-relay interface-dlci 31 
Router1l (config-subif) #ex 
Routerl (config) #router eigrp 10 
Routerl (config-router) #network 172.17.0.0 
Routerl (config-router) #network 192.168.2.0 


Router1l (config-router) #network 192.168.1.0 
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(3) 在 Router2 上 ， 配 置 路 由 器 广域网 接口 使 用 帧 中 继 封 装 ， 并 且 配 置 子 接口 和 对 应 
的 帧 中 继 DLCI， 以 及 EIGRP 动态 路 由 协议 。 


Router (config) #hostname Router2 


Router2 
Router2 
Router2 
Router2 
Router2 
Router2 
Router2 
Router2 
Router2 
Router2 
Router2 
Router2 
Router2 
Router2 
Router2 


Router2 


(config) #interface Serial 0/1/0 

(config-if) #no sh 

(config-if) #encapsulation frame-relay 

(config-if) #ex 

(config) #interface serial 0/1/0.1 point-to-point 
(config-subif) #ip address 192.168.1.1 255.255.255.0 
(config-subif) #frame-relay interface-dlci 40 
(config-subif) #exi 

(config) #interface serial 0/1/0.2 point-to-point 
(config-subif) #ip address 192.168.3.1 255.255.255.0 
(config-subif) #frame-relay interface-dlci 41 
(config-subif) #ex 

(config) #router eigrp 10 

(config-router) #network 172.18.0.0 

(config-router) #network 192.168.3.0 

(config-router) #network 192.168.1.0 


(4) 如 图 11-12 所 示 ， 配 置 帧 中 继 接口 的 DLCI。 选 中 Serial0，DLCI 输 入 20，Name 
输入 to R2 41， 单 击 Add 按钮 ， DLCI 输入 21，Name 输入 to R1 31， 单 击 Add 


按钮 。 


(5) 如 图 11-13 所 示 ， 配 置 帧 中 继 接口 的 DLCI， 选 中 Seriall 。DLCI 输入 30，Name 
输入 to R2 40， 单 击 Add 按钮 ，DLCI 输入 31，Name 输入 to RO 21， 单 击 Add 


[aaa ce | 


CE 
[ast 
evenos 
[emekem 
mmo 
1 


二 二 


Frame Relay: Serlal0 


Geco 


全 图 11-12 配置 帧 中 继 接口 Serial0 的 DLCI 


A 图 11-13 配置 帧 中 继 接口 Seriall 的 DLCI 
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(6) 如 图 11-14 所 示 ， 配 置 帧 中 继 接口 的 DLCI， 选 中 Serial2。DLCI 输入 40，Name 
输入 to R1 30， 单 击 Add 按钮 ， DLCI 输入 41，Name 输入 to RO 20， 单 击 Add 
按钮 。 

(7) 如 图 11-15 所 示 , 配置 帧 中 继 永久 虚 电路 。 选 中 Serial0 接口 的 to R1 31 和 Seriall 
接口 的 to RO0_21, 单 击 Add 按钮 ， 这 就 意味 着 从 这 两 个 接口 建立 了 一 条 永久 虚 电 
路 ; 选中 Serial0 接口 的 to R2 41 和 Serial2 接口 的 to R0 20， 单 击 Add 按钮 ， 选 
中 Seriall 接口 的 to R2 40 和 Serial2 接口 的 to R1 30， 单 击 Add 按钮 。 


physical config 


= 
Sam Frame Relay 


| EGG 本 [CR 一、ECEE 
| Port Sublink Port 
rm 
to a 
tol 
to_R2_40 


Frame Relay: Serial2 


port status 了 ] toR130 = 


Subink 
Sb 

ta_RD 21 
ta_RO_z0 
ta_RL30 


El 


From Port 
Ser 
sonia 
Senan 


To Port 
Serial 
Serialz 
Senal2 


Name tm_RO_20 


Hr Remove 
Mooems | |DLct Name 

to_RL30 

ma_R0_20 


全 图 11-14 配置 帧 中 继 接口 Serial2 的 DLCI 
(8) 在 Router0 上 验证 帧 中 继 配 置 。 


Router0#show ip route 


全 图 11-15 配置 帧 中 继 电 路 交换 


Codes: C - connected,S - static,I - IGRP,R - RIP,M - mobile,B - BGP 
D - EIGRP，EX - EIGRP external,O - OSPF,IR - OSPF inter area 
N1 - OSPF NSSA external type 1,N2 - OSPF NSSA external type 2 
El - OSPF external type 1,E2 - OSPF external type 2,E - EGP 
i =- IS-IS,L1 - IS-IS level-1,L2 - IS-IS level-2,ia - IS-IS inter area 
* -~ candidate default,U - per-user static route,o - ODR 
P - periodic downloaded static route 
Gateway of last resort is not set 
从 172.16.0.0/16 is directly connected, fastEthernet0/0 
D 172.17.0.0/16 [90/2172416] via 192.168.2.1, 00:00:03, Serial0/1/0.2 
D 172.18.0.0/16 [90/2172416] via 192.168.3.1, 00:05:13, Serial0/1/0.1 
D 192.168.1.0/24 [90/2681856] via 192.168.2.1, 00:13:02, Serial0/1/0.2 
[90/2681856] via 192.168.3.1, 00:07:30, Serial0/1/0.1 
192.168.2.0/24 is directly connected, Serial0/1/0.2 


Ce 192.168.3.0/24 is directly connected, Serial0/1/0.1 
可 以 看 到 Router0 已 经 学 到 了 到 达 北 京 和 天 津 网 络 的 路 由 ， 说 明 帧 中 继 配置 成 功 。 
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说 名 实话 ， 一 般 企业 的 网 络 管理 员 很 少 有 机 会 配置 帧 中 继 网 络 ， 而 更 多 的 是 配置 路 由 器 


的 广域网 接口 使 有 


帧 中 继 封装 ， 然 后 配置 子 接口 以 及 所 对 应 帧 中 继 的 DLCI。 


3. 将 路 由 器 配置 为 帧 中 继 交 换 机 


本 实验 会 将 路 由 器 降级 成 为 帧 中 继 交 换 机 ， 在 帧 中 继 交 换 机 上 配置 两 条 永久 虚 电 路 ， 能 
够 使 得 路 由 器 RA 和 路 由 器 RB 相当 于 点 到 点 的 两 个 逻辑 链 路 连接 。 各 个 子 接口 的 了 地 址 和 


DLCI 如 图 11-16 所 示 ， 


你 需要 配置 路 由 器 RB 实现 两 个 逻辑 链 路 数据 帧 的 转发 。 


通过 本 实验 你 将 很 好 地 理解 在 帧 中 继 中 配置 永久 虚 电 路 的 过 程 。 


物理 链 路 


Se2/0 


Se2/1 


Se2/1 


RC 
RB 
RA 
逻辑 链 路 

10.0.0.1/24 10.0.0.2/24 

Se2/0.1 DLCI 20 DLCI 21 Se2/1.1 
RA OA Cr ne 

人 A 图 11-16 帧 中 继 实验 环境 
操作 步骤 如 下 。 


(1) 在 路 由 器 RA 上 ， 配 置 广域网 接口 使 用 帧 中 继 封 装 ， 配 置 子 接口 的 瑟 地 址 以 及 对 


应 的 DLCI。 


Router> 


配置 过 程 如 图 11-17 所 示 。 


Routeryen 
Router#kconf ig t 
RouterCconf ig)tthostnane RA 


RACconf ig)#interface serial 2/0 
RACconf ig—if Hno sh 


物理 端口 配置 帧 中 继 封 装 


RRKconfig-if?#encapsulation frane-relay 一 物理 接口 不 要 配置 IP 地 址 


RACconf ig—if exi 


RACconf iqg)#interface serial 2/0.1 point-to-point 


进入 子 接口 


RACconf ig-subif YH#ip address 19-B-B-1 255.255.255.@ 
RACconf ig-subif )Hfrane-relay interface-dlci 28 一 指定 DLCI 编 号 
RACconf ig-fr-dlci)tex 
RACconf ig-subif Yexi 


RACconf ig)#interface serial 2/0.2 point-to-point 


进入 子 接口 


RACconf ig-subif )#ip address 10.0.1.1 255.255.255.@ 
RACconf ig-suhbif)#frame-relay interface-dlci 38 一 一 指定 DLCI 编 号 


RACconf 


ig-fr-dlci)#ex 


A 图 11-17 在 路 由 器 RA 上 配置 帧 中 继 子 接口 


(2) 在 路 由 器 RB 上 ， 将 其 配置 为 帧 中 继 交 换 机 ， 并 在 接口 上 配置 帧 中 继 封 装 以 及 永 


久 虚 电路 ， 
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如 图 11-18 所 示 。 
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Routeryen 
Routerikconfig t 
RouterCconfig)#hostnane RB 


将 路 由 器 降级 为 帧 中 继 交 换 机 


RBCconf ig)f rane—relay suitching 


RBCconf iq)#interface serial 2/0 


有 ConEiy-it28easerreiay intf seope dc。 配置 中 维 封装 目 为 DcE 
配置 帧 中 继 映 射 


RBCconf ig-if clock rate 64988 
RBCconf ig-if frane—relay route 28 interface serial 2/1 21 

RBCconf ig-if )frane-relay route 39 interface serial 2/ 31 即 配置 永久 虚 电 路 
RBCconf ig—if Hex 


RBCconf ig)#interface serial 2/1 配置 帧 中 继 封装 目 为 DCE 
RBCconf ig-if )#iencapsulation frane-relay 

RBCconf ig—if )#frane—relay intf-type dce 配置 时 钟 频率 
RBCconf ig-if )#clock rate 64989 


RBCconf iqg—if Hfrane—relay route 31 interface serial 2/9 38 配置 帧 中 继 映 射 
RBKconfig-if )#frame-relay route 21 interface serial 2/9 28 即 配置 永久 虚 电 路 


4 图 11-18 配置 帧 中 继 交 换 机 
路 由 器 RB 原本 是 三 层 设 备 ， 现 在 将 其 作为 帧 中 继 交 换 机 ， 成 为 了 二 层 设 备 ， 因 此 是 降 
级 使 用 。 在 接口 上 配置 帧 中 继 映 射 的 过 程 就 是 在 帧 中 继 交 换 机 上 创建 永久 虚 电路 的 过 程 。 
(3) 在 路 由 器 RC 上， 配置 广域网 接口 使 用 帧 中 继 封 装 ， 配 置 子 接口 的 下 地 址 以 及 对 
应 的 DLCI， 如 图 11-19 所 示 。 


RCCconf ig)ttinterfac serial 2/4 i 
RGCconfig-if)#encapsulation frane-relay 一 配置 物理 接口 
帧 中 继 封 装 


RCCconf ig-if no sh 

RCCconf ig—if Hexi 

RCCconf iq?#interface serial 2/1.1 point-to-point 

RCCconf ig-subif )#ip address 18.8.0.2 255-255-255.9 配置 子 接口 I 
RCCconfig-subif Hfrane—relay interface-dlci 21 和 DLCI 
RCCconf ig-fr-dlci)#ex 

RCCconf ig-subif Yino sh 


RCCconfig)interface serial 2/4.2 point-to-point ”配置 子 接口 IP 
Reconf ig-subif ip address 19-8.1.2 255.255.255.9 和 DLCI 
RCCconf ig-subif frane—relay interface-dlci 31 

RCCconf ig-fr-dlci)#^Z 


4 图 11-19 在 路 由 器 RC 上 配置 帧 中 继 子 接口 
(4) 在 路 由 器 RA 上 查看 子 接口 状态 。 可 以 看 到 物理 层 和 数据 链 路 层 都 是 up 状态 ， 帧 
中 继 封装 ， 如 图 11-20 所 示 。 
RA#show interfaces serial 2/0.1 
Seriali/@.1 is up。1line protocol is up 
Hardware is M4T 
Internet address is 18.8.0.1/24 
MIU 1599 bytes, BY 1544 Kbit, DLY 2886868 usec,. 
reliability 255/255, txload 1/255, rxload 1/255 
Encapsulation FRAME-RELAY 
Last clearing of "show interface" counters never 
Rh##show interfaces serial 2/8.2 
Serial1/0.2 is up, line protocol is up 
Hardware is M4T 
Internet address is 18.8.1.1/24 
MIU 158@ bytes,. BY 1544 Kbit, DLY 28888 usec,. 
reliability 255/255, txload 1/255, rxload 1/255 
Encapsulation FRAME-RELAY 
Last clearing of "show interface" counters never 


4 图 11-20 查看 帧 中 继 子 接口 
(5) 在 路 由 器 RA 上 测试 到 RC 的 两 个 逻辑 接口 是 否 通 ， 如 果 通 ， 说 明 帧 中 继 的 两 个 
永久 虚 电路 配置 成 功 ， 如 图 11-21 所 示 。 
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RhHtping 19-B-B-2 

Type escape sequence to abort- 

Sending 5。198-byte ICMP Echos to 19-B-B-2。 tineout is 2 seconds: 

ee 

Success rate is 100 percent (5/5), round-trip nin/avg/nax = 216/395/584 ns 


Rhitping 10.0.1.2 
Type escape sequence to abort. 
Sending 5。1989-hbyte ICMP Echos to 19-B-1-2。 tineout is 2 seconds: 


Success rate is 199 percent (5/5), round-trip nin/avg/max = 216/342/564 ms 


4 图 11-21 测试 网 络 连通 性 
= sem 


虚拟 专用 网 络 (VPN，Y) 我 们 可 以 把 它 理解 成 是 虚拟 出 来 的 企业 内 部 专线 。 它 可 以 通 
过 特殊 加 密 的 通信 协议 连接 在 Intemet 上 的 位 于 不 同 地 方 的 两 个 或 多 个 企业 内 部 网 之 间 建 立 
一 条 专用 的 通信 线路 ,如同 架设 了 一 条 专线 , 但 是 它 并 不 需要 真正 地 去 铺设 光缆 之 类 的 物理 
线路 。 这 好 比 去 电信 局 申请 专线 , 但 是 不 用 付 铺设 线路 的 费用 ， 也 不 用 购买 路 由 器 等 硬件 设 
备 。VPN 技术 原 是 路 由 器 具有 的 重要 技术 之 一 , 目前 交换 机 、 防火墙 设 备 以 及 Windows 2003 
和 Windows Server 2003 等 软件 中 也 都 支持 VPN。 总 之 ，VPN 的 核心 就 是 利用 公共 网 络 建立 
虚拟 私有 网 。 

如 图 11-22 所 示 的 远程 用 户 可 以 通过 Intemet 建立 到 企业 内 部 网 络 的 VPN 连接 ， 这 样 该 
用 户 就 可 以 像 是 在 内 网 中 一 样 访问 企业 内 部 网 络 的 任意 计算 机 。 远 程 用 户 建立 到 RAS (Remote 
Access Server) 服务 器 的 VPN 拨号 连接 后 ， 会 得 到 一 个 内 网 的 了 P 地 址 10.0.0.8。 当 它 访问 内 
网 的 WebServerl 时 ， 数 据 包 的 封装 如 图 11-21 所 示 ， 将 会 把 局 域 网 的 数据 包 当 做 数据 ， 使 用 
RAS 的 公 网 地 址 和 自己 的 公 网 地 址 再 次 封装 为 广域网 数据 包 ， 这 样 数据 包 就 能 通过 Intemet 
到 达 RAS 的 公 网 地 址 23.23.2.2。RAS 再 将 广域网 封装 的 部 分 去 掉 ， 使 局 域 网 数据 包 在 企业 内 
部 网 络 传输 。 这 里 省 去 了 广域网 封装 过 程 中 数据 包 加 密 和 完整 性 的 封装 介绍 。 


全 图 11-22 远程 访问 VPN 示意 图 


第 11 章 
广域网 本 本 于 时 是 到 要 


还 有 一 种 VPN 是 站 点 间 VPN， 如 图 11-23 所 示 。 站 点 间 VPN 可 以 通过 Internet 将 两 个 
局 域 网 连接 起 来 ， 你 只 需 配 置 北京 和 石家庄 两 个 局 域 网 的 VPN 服务 器 即 可 ， 对 于 北京 和 石 
家 庄内 网 的 计算 机 相互 访问 Intemet 则 是 透明 的 。 


Internet 


全 图 11-23 站 点 间 VPN 示意 图 
通过 以 上 介绍 可 以 看 出 , VPN 技术 是 利用 Intemet 扩展 私有 网 络 的 一 项 非常 有 用 的 技术 ， 
它 不 需要 额外 的 开销 ， 利 用 现 有 的 Intemet 接 入 ， 只 需 稍 加 配置 就 能 实现 远程 用 户 对 内 网 的 
访问 以 及 两 个 私有 网 络 的 相互 访问 。 
下 面 将 会 介绍 VPN 使 用 的 广域网 协议 以 及 如 何在 路 由 器 和 Windows Server 2003 上 实现 
远程 访问 VPN。 


11.3.1 VPN 使 用 的 广域网 协议 


VPN 中 的 隧道 是 由 隧道 协议 形成 的 。VPN 使 用 的 隧道 协议 主要 有 两 种 ， 点 到 点 隧道 协 
议 (PPTP) 和 第 二 层 隧 道 协议 〈(L2TP over IPSec) 。 

PPTP 封装 了 PPP 数据 包 中 包含 的 用 户 信息 ， 支 持 隧 道 交 换 。 隧 道 交换 可 以 根据 用 户 
权限 ， 开 启 并 分 配 新 的 隧道 ， 将 PPP 数据 包 在 网 络 中 传输 。 另 外 ， 隧 道 交换 还 可 以 将 用 户 
导向 指定 的 企业 内 部 服务 器 。PPTP 便于 企业 在 防火 墙 和 内 部 服务 器 上 实施 访问 控制 。 位 
于 企业 防火 墙 的 隧道 终端 器 接收 包含 用 户 信息 的 PPP 数据 包 , 然后 对 不 同 来 源 的 数据 包 实 
施 访问 控制 。 

L2TP 协议 综合 了 PPTP 协议 和 L2F (Layer 2 Forwarding) 协议 的 优点 ， 并 且 支 持 多 路 
隧道 ， 这 样 可 以 使 用 户 同时 访问 Internet 和 企业 网 ， 但 需要 结合 IPSec 实现 其 安全 性 。 

PPTP 和 L2TP 都 使 用 PPP 协议 对 数据 进行 封装 ， 然 后 添加 附加 报头 用 于 数据 在 互联 网 
络 上 的 传输 。 尽 管 两 个 协议 非常 相似 ， 但 仍 存在 以 下 几 方 面 的 不 同 。 

" ”PPTP 要 求 互 联网 络 为 IP 网 络 ; L2TP 只 要 求 隧道 媒介 提供 面向 数据 包 的 点 对 点 连接 。 

L2TP 可 以 在 瑟 〈 使 用 UDP) 、 帧 中 继 永 久 虚拟 电路 (PVCs) 、X.25 虚拟 电路 (VCs) 
或 ATM VCs 网 络 上 使 用 。 
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”PPTP 只 能 在 两 端点 间 建 立 单一 隧道 ，L2TP 支持 在 两 端点 间 使 用 多 隧道 ， 使 用 L2TP， 
用 户 可 以 针对 不 同 的 服务 质量 创建 不 同 的 隧道 。 

" ，I2TP 可 以 提供 包头 压缩 , 当 压 缩 包头 时 , 系统 开销 (overhead) 占用 4 个 字 节 ; 而 PPTP 
协议 下 要 占用 6 个 字 节 。 

" ”L2TP 可 以 提供 隧道 验证 ; 而 PPTP 则 不 支持 隧道 验证 。 但 是 当 L2TP 或 PPTP 与 IPSec 
共同 使 用 时 ， 可 以 由 IPSec 提供 隧道 验证 ， 不 需要 在 第 2 层 协议 上 验证 隧道 。 

" ”PPTP 使 用 TCP 的 1723 端口 ; L2TP 使 用 UDP 的 1701 端口 。 


11.3.2 ”配置 Windows 服务 器 为 VPN 服务 器 


如 图 11-24 所 示 ， 企 业内 网 地 址 为 10.0.0.0/24，RAS 为 Windows Server 2003 服务 器 ， 连 接 
内 网 和 外 网 。 现 在 需要 配置 RAS 服务 器 为 远程 访问 服务 器 ， 人 允许 Intemet 用 户 能 够 拨 入 内 网 。 


企业 内 部 网 络 


RemotePC 


WebServer! 
10.002 


全 图 11-24 远程 访问 VPN 示意 图 
在 Windows Server 2003 上 配置 远程 访问 服务 器 的 步骤 如 下 。 


(1) 启用 路 由 和 远程 访问 服务 器 。 
(2) 指定 分 配给 远程 计算 机 的 IP 地 址 。 
(3) 创建 用 户 允 许 远 程 氢 入 。 
1. 配置 远方 访问 服务 器 的 
在 RAS 上 ， 按 照 图 11-25 所 示 配 置 连 
接 Intemet 和 内 网 的 卫 地 址 。 文件 揣 作 内 坦 看 和 盈 00 
(1) 选择 “开始 ”一 “程序 ” 一“ 管 ” 上 且 SEE 和 
理工 具 ” 一 “路 由 和 远程 访问 ” 
命令 。 
(2) 如 图 11-25 所 示 ， 右 击 服务 器 ， 
在 弹出 的 快捷 菜单 中 选择 “ 配 
置 路 由 和 远程 访问 ”命令 。 
(3) 在 出 现 的 “欢迎 使 用 路 由 和 远 
程 访 问 服务 器 安装 向 导 ” 对 话 。 laageaia 
框 中 ， 单 击 “ 下 一 步 ”按钮 。 A 图 11-25 配置 路 由 和 远程 访问 


和 癌 ， 在 “操作 "来 单 上 单 十 “配置 并 启 月 路 由 
所 有 性 基 上 
B29 上 
有 辽 四 ) 
刷新 中 

乓 此 加 


辣 ， 部 于 万 案 ， 以 及 莽 对 解答 的 更 多 信息 , 
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(4) 如 图 11-26 所 示 , 在 出 现 的 “配置 ”设置 界面 中 ,选中 “远程 访问 (拨号 或 VPN)” 
单 选 按 钮 ， 单 击 “ 下 一 步 ”按钮 。 

(5) 如 图 11-27 所 示 , 在 出 现 的 “远程 访问 ”设置 界面 中 ,选中 VPN 复 选 框 , 单 击 “下 
一 步 ” 按 钮 。 


A 图 11-26 选择 远程 访问 A 图 11-27 选择 VPN 连接 
(6) 如 图 11-28 所 示 ， 在 出 现 的 “VPN 连接 ”设置 界面 中 ， 选 中 连接 Internet 的 网 卡 ， 
单 击 “ 下 一 步 ” 按 钮 。 
(7) 如 图 11-29 所 示 ， 在 出 现 的 “IP 地 址 指定 ”设置 界面 中 ， 选 中 “来 自 一 个 指定 的 
地 址 范围 ”>， 单 击 “ 下 一 步 ” 按 钮 。 


ERTITEEEETTG 


全 图 11-28 选择 连接 Internet 的 网 卡 全 图 11-29 选择 分 配 地 址 的 方式 

(8) 如 图 11-30 所 示 ， 在 出 现 的 “地 址 范围 指定 ”设置 界面 中 ， 单 击 “ 新 建 ” 按 钮 。 

(9) 如 图 11-30 所 示 ， 在 出 现 的 “新 建 地 址 范围 ”对 话 框 中 ， 输 入 一 个 地 址 范围 。 远 
程 计算 机 VPN 拨 入 将 会 从 中 选择 一 个 地 址 分 配给 远程 计算 机 。 

(10) 如 图 11-31 所 示 ， 在 出 现 的 “管理 多 个 远程 访问 服务 器 ”设置 界面 中 ， 选 中 “和 否 ， 
使 用 路 由 和 远程 访问 来 对 连接 请 求 进行 身份 验证 ?， 单 击 “ 下 一 步 ” 按 钮 。 
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全 图 11-30 指定 地 址 范围 全 图 11-31 选择 身份 验证 方式 
(11) 在 出 现 的 “完成 路 由 和 远程 访问 服务 器 安装 向 导 ” 界 面 中 ， 单 击 “ 完 成 ”按钮 。 
(12) 如 图 11-32 所 示 ， 在 出 现 的 “路 由 和 远程 访问 ”提示 对 话 框 中 ， 单 击 “ 确 定 ” 
按钮 。 


ES 


全 图 11-32 提示 配置 DHCP 中 继 代 理 
2. 创建 用 户 允 许 远程 拨 入 
(1) 选择 “开始 ”一 “程序 ”一 “管理 工具 ”一 “计算 机 管理 ”命令 。 
(2) 如 图 11-33 所 示 ， 右 击 “ 用 户 ” 节 点 ， 在 弹出 的 快捷 菜单 中 选择 “新 用 户 ” 命 令 。 
(3) 如 图 11-34 所 示 ， 在 出 现 的 “新 用 户 ” 对 话 框 中 ， 输 入 用 户 名 和 密码 ， 单 击 “ 创 
建 ”按钮 。 


全 图 11-33 选择 “新 用 户 ”命令 全 图 11-34 “新 用 户 ” 对 话 框 
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(4 双击 新 用 户 ， 如 图 11.35 所 示 , 在 出 现 的 用 户 
属性 对 话 框 的 “ 拨 入 ”选项 卡 中 选中 “允许 egy | se 撕 入 


三 运程 访问 权限 牧 入 或 VPD 
访问 ” 单 选 按钮 ， 单 击 “ 确 定 ”按钮 。 “a 

远程 访问 服务 器 配置 完毕 。 = 
= 


下 面 介绍 RemotePC 如 何 建立 VPN 拨号 连接 访问 Cs 
RAS。 BRENAEIO: 


厂 久 本 本 者 开 地 址 四) | 
3， 建立 VPN 拨号 1 BIN 一 | 


为 计 执 入 主 按 定义 要 语 用 的 路 由 。 | 
(1) 在 RemotePC 上 ， 选 择 “ 开 始 ” 一 “设置 ”一 
“网 络 连接 ”命令 。 确 保 其 能 够 和 RAS 连接 
Internet 的 网 卡通 信 。 Ce ww | sn | 


(2) 如 图 11-36 所 示 ， 在 “网 络 连接 ”窗口 中 , 单 。 人 图 11-35 更 改 用 户 属性 允许 访问 
击 “ 创 建 一 个 新 的 连接 ”命令 。 
(3) 在 出 现 的 “欢迎 使 用 新 建 连接 向 导 ” 设 置 界面 中 ， 单 击 “ 下 一 步 ”按钮 。 


(4) 在 出 现 的 “网 络 连接 类 型 ”设置 界面 中 ， 选 中 “连接 到 我 的 工作 场所 的 网 络 ” 单 


(5) 在 出 现 的 “网 络 连接 ”设置 界面 中 ， 选 中 “虚拟 专用 网 络 连接 ” 单 选 按钮 ， 单 击 
“下 一 步 ” 按 钮 。 

(6) 在 出 现 的 “连接 名 ”设置 界面 中 ， 输 入 公司 名 称 ， 单 击 “ 下 一 步 ” 按 钮 。 

(7) 如 图 11-37 所 示 ， 在 出 现 的 “VPN 服务 器 选择 ”设置 界面 中 ， 输 入 RAS 的 公 网 地 
址 ， 单 击 “ 下 一 步 ” 按 钮 。 

(8) 在 出 现 的 “正在 完成 新 建 连接 向 导 ” 设 置 界面 中 ， 选 中 “在 我 的 桌面 上 添加 一 个 
到 此 连接 的 快捷 方式 ” 复 选 框 ， 单 击 “完成 ”按钮 。 


YP 服务 加 选择 1 
VPN 服务 器 的 各 称 或 地 址 是 什么 ? [7)] 
Y 


输入 修正 连接 的 计算 机 的 主机 名 或 IF 地 址 。 


主机 名 或 I 地址 (N90，nicrosoft. com 或 157.54.0.1) 0) 
[23.23.2.2 


全 图 11-36 “网 络 连接 ”窗口 全 图 11-37 输入 RAS 的 公 网 地 址 
(9) 如 图 11-38 所 示 ， 在 VPN 拨号 之 前 ，ping RAS 服务 器 的 内 网 地 址 ， 不 通 。 
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ping 18.8.8.1 


with 32 bytes of data: 


t unreachable. 
unreachable. 
unreachable. 


unreachable. 


《19Bx loss) 


IC:\Docunents and Settings\han> 


全 图 11-38 测试 到 内 网 的 连接 
(10) 如 图 11-39 所 示 ， 双击 刚才 建立 的 VPN 拨号 连接 ， 可 以 看 至 
进行 连接 。 输 入 用 户 名 和 密码 ， 单 击 “ 连 接 ” 按 钮 。 


认 使 用 PPTP 协议 


全 图 11-39 拨号 连接 
(11) 如 图 11-40 所 示 ， 拨 通 之 后 ， 在 命令 提示 符 下 输入 ipconfig， 可 以 看 到 RAS 分 配 
给 该 计算 机 的 内 网 地 址 。 


han>ipconfig a 立 的 会 话 Ke 
. ” 也 就 是 PPTP 使 用 的 协议 和 端口 


>: Docunents and Settings 


Mindows IP Configuration 


VPN 拨号 建立 的 连接 


EF 


: 19.8.9.18 


全 图 11-40 查看 VPN 建立 的 会 话 和 VPN 建立 的 连接 
(12) 如 图 11-41 所 示 ，ping RAS 的 内 网 他 地 址 10.0.0.1， 可 以 看 到 能 够 ping 通 。 
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Pinging 16.8.8.1 with 


from 18. 
from 10.8. 
from 18. 

y from 18-B.B-1: 


ics for 19.9.9.1 


und trip tim cond 


Minimum = lms。 Maximum = 19ms。 昌 ge = 5ms 


IC:\Docunents and Settings\han> 


全 图 11-41 测试 到 内 网 的 连通 性 
4. 配置 VPN 使 用 L2TP 协议 
VPN 拨号 默认 使 用 的 是 PPTP 协议 ， 如 果 使 用 L2TP 协议 ， 则 需要 在 远程 访问 服务 器 和 
客户 端 指定 IPSec 用 来 身份 验证 的 共享 密 钥 。 
(1) 如 图 11-42 所 示 ， 在 RAS 上 ,打开 “路 由 和 远程 访问 ”窗口 ， 右 击 服务 器 ， 在 弹 
出 的 快捷 菜单 中 选择 “属性 ”命令 。 
(2) 如 图 11-43 所 示 , 在 出 现 的 服务 器 属性 对 话 框 的 “安全 ”选项 卡 中 , 选中 “为 L2TP 


连接 允许 自 定义 IPSec 策略 ” 复 选 枉 ， 输 入 预 共享 的 密 铀 ， 单 击 “确定 ” 按 钮 。 
| 
党 坑 S lz lzm 186 志 | 
=lelx] 身份 验证 提供 程序 为 远程 访问 才 户 铀 和 请 所 号 路 由 器 提供 策 括 验 
[ETT TT EE 
[+ + 因而 包间 | 对 加 身份 验证 提供 程序 
ESTEYTE (水 地) [Winaows 身份 验证 可 5 
上 
B sr et | 加 身份 验证 方法 
FE 记 和 提供 程 序 纵 护 演 接 清和 会 放 日志 。 
新 有 任务 KE) 
得 访 F。 查看 记 帐 提供 程序) 
™ mo a hinaows 记 由 ~ 
四 Re 
LS 到 为 2TE 连接 克 许 自 定义 IFSec 第 略 已) 
预 共享 的 密 钼 gg) 
下 
= Ca |] mw Gil 
A 图 11-42 选择 “属性 ”命令 全 图 11-43 设置 共享 密 钥 


(3) 如 图 11-44 所 示 ， 在 RemotePC 上 ， 右 击 建立 的 VPN 连接 ， 在 弹出 的 快捷 菜单 中 
选择 “属性 ”命令 。 

(4) 如 图 11-45 所 示 ， 在 出 现 的 连接 属性 对 话 框 的 “安全 ”选项 卡 中 ， 单 击 “IPSec 设 
置 ”按钮 。 
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如 onest 展 性 


文件 人 编辑 四 查看 名。 收 豪 人 工具) 高 红 国 姑且 0 回 典型 推荐 设置 ) CD) 


良 - 加- 访 | 甩 于 区 | 国 - 验证 我 的 身份 为 四) 
需要 有 安全 措施 的 密码 


S 口 鹏 租 到 Windows 登录 名 和 富 码 (及 域 ,如 
站 建 下 衣 的 连 度 ， 
9 请 RER4an^ 时 回 要 求 数据 加 密 慑 有 就 断 开 ) (I) 
BW" -sa 铝 识 产 ( 目 定义 设置 )@ 
吉 生硬 各 Hi 到 使 用 芽 需 要 有 安全 协议 的 知 让 
治 册 9 此 连接 
国 eutie 近 93 旺 
证 为 这 接 @) 
Sli €) 
DB 39 和 面 折 
蝎 月 上 $8 后 
日 ax 省 
bre 


人 入 图 11-44 更 改 拨号 连接 属性 全 图 11-45 设置 IPSec 
(5) 如 图 11-46 所 示 ， 在 出 现 的 “IPSec 设置 ”对 话 框 中 ， 选 中 “使 用 预 共 享 的 密 钥 
作为 身份 验证 ” 复 选 框 ， 输 入 密 钥 ， 单 击 “ 确 定 ” 按 钮 ， 这 个 密 钥 必须 和 RAS 
上 指定 的 密 钥 相同 。 
(6) 如 图 11-47 所 示 ， 在 属性 对 话 框 的 “网 络 ” 选 项 卡 中 的 “VPN 类 型 ”下 拉 列 表 框 
中 选中 “LZTP IPSec VPN” 选 项 ， 单 击 “ 确 定 ” 按 钮 。 


党 规 | 这 项 | 安全 同 喇 ”| 高 级 
VEPN 类 型 到 ) 
L2TP IPSec YPN > 


PPTP YPN 
此 演 接 使 用 下 列 项 目 @) 
回忆 oS 数据 包 ; 


回电 下 coroft 网 络 的 文件 和 打印 机 共享 
回国 出 erosoft 网 络 客户 滑 


[Rw] 知名 属性 8) 
描 壕 
A 它 提供 跨越 多 种 互联 网 


才 明 四 :|Eisa 


[确定 _][_ 取消 
全 图 11-46 设置 IPSec 共享 密 钥 全 图 11-47 指定 VPN 类 型 
(7) 如 图 11-48 所 示 ， 连 接 ， 可 以 看 到 使 用 L2TP 建立 的 VPN 连接， 能够 ping 通 RAS 
内 网 的 瑟 地 址 ， 输 入 netstat -n 命令 ， 看 不 到 建立 的 会 话 。 因 为 L2TP 使 用 的 是 
UDP 协议 的 端口 1701。 


WINDOWS\s7stea32Ncad- exe 


nping 18.8.8.1 


索 肠 > 文人 天 国 : i bytes of data: 


_ IAN 或 高 速 Internet 


a 本 i 过 接 Reply fron 19 


Ping s 


虚拟 专用 网 络 Rpproxim: 
一 Mini 


onest 


Active Connections L2TP 使 用 UDP， 不 建立 会 话 


使 用 L2TP 协 议 建 立 Proto Local Address Foreign Ad 
YPN 连接 


ocunents and Settings\han》 


全 图 11-48 使 用 L2TP 拨 通 远程 访问 服务 器 


“村 


2 


是 广域网 链 路 通常 的 封装 。( 选 择 所 有 正确 答案 ) 
A. Ethernet 
B: PPP 
C. Token Ring 
D. HDLC 
E. Frame Relay 
F. POTS 
. 关于 PPP 特征 的 描述 ， 下 列 是 正确 的 描述 。( 选 择 所 有 正确 答案 ) 


A. 可 封装 多 种 不 同 的 路 由 协议 
B. 只 支持 人 P 

C. 能 够 在 模拟 电路 上 应 用 

D. Cisco 专 上 
E. 支持 错误 诊断 

你 准备 将 两 个 路 由 器 的 两 个 串口 创建 一 个 点 到 点 的 广域网 连接 ， 一 端 是 Cisco 路 
器 ， 另 一 端 是 华为 路 由 器 ， 应 该 使 用 命令 。 


A.TK1 (config-if) #encapsulation hdlc ansi 


B.TK1 (config-if) #encapsulation ppp 
C. ITKE1 (config-if) # encapsulation LAPD 
D. ITK1 (config-if) #encapsulation frame-relay ietf 


E.TK1 (config) #encapsulation ppp 
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4. 关于 描述 帧 中 继 点 到 点 子 接口 的 描述 ， 下 列 描述 是 正确 的 。( 选 择 两 个 答 
案 ) 
A. 需要 用 来 实现 逆向 ARP 
B. 每 一 个 DLCI 映射 到 一 个 单独 的 他 子 网 
C. 多 个 DLCI 映射 单一 中 子 网 
D. 解决 NBMA (none broadcast multiaccess) 水 平分 割 


E. Requires use of the frame-relay map command 


5. 你 的 帧 中 继 网 络 在 永久 虚 电 路 上 使 用 DLCI 信息， 其 目的 是 。 
A. 它 确定 了 帧 中 继 的 封装 类 型 
B. 它们 标识 在 本 地 路 由 器 和 帧 中 继 交 换 机 之 间 的 逻辑 虚 电 路 
C. 它们 代表 路 由 器 的 物理 地 址 
D. 它们 代表 永久 虚 电 路 的 活跃 
6. 下 面 命令 能 够 应 用 到 广域网 接口 ， 但 是 不 能 应 用 到 局 域 网 接口 。( 选 择 所 有 
正确 答案 ) 
A. IP address 


B. encapsulation PPP 
C. no shutdown 
D. PPP authentication CHAP 
E. Speed 
F. None of the above 
7. 你 正在 配置 的 Cisco 路 由 器 接口 使 用 PPP 封装 ， 支 持 ___ 身份 验证 。( 选 择 两 个 
答案 ) 
A.SSL 
B. SLIP 
C.PAP 
D. LAPB 
E. CHAP 
F. VNP 
8. 在 一 个 实验 中 ， 两 个 路 由 器 使 用 广域网 接口 连接 ， 没 有 DCE 设备 ， 使 链 路 up， 需 要 
附加 的 命令 。 
A. serial up 
B. clockrate 
C. clock rate 
D. dce rate 
E. dte rate 
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E 


B、 
2. A、C、E 
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第 12 章 ”网络 排 错 和 
地 址 自动 分 配 


本 章 通过 一 个 具体 的 例子 讲解 了 网 络 排 错 的 过 程 , 列 出 了 引起 网 络 故 障 的 原因 以 及 解决 
办 法 。 同 时 展示 了 配置 路 由 器 作为 DHCP 中 继 、 支 持 跨 网 段 IP 地 址 自动 分 配 的 详细 步骤 。 

本 章 主要 内 容 : 

a ”网 络 排 错 的 方法 

= 不 能 访问 Internet 排 错 过 程 

" ”JP 地址 自动 分 配 

" ”配置 路 由 器 作 支 持 DHCP 中 继 
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2 ma 尖 # 兴 


排除 网 络 故 障 除 了 书本 上 的 知识 ， 还 需要 经 验 的 积累 。 下 面 讲 一 个 故事 : 

一 个 小 公司 通过 ADSL 连接 Internet， 计 算 机 和 服务 器 出 现 的 故障 经 常 找 我 咨询 。 有 一 
天 我 接 到 电话 说 不 能 上 网 了 。 我 让 他 ping 网 关 看 看 是 否 通 ， 再 ping 一 个 公 网 地 址 看 看 通 不 
通 ， 把 所 有 网 卡 连接 拔 了 再 插 一 遍 ， 把 连接 猫 的 电话 线 拔 了 再 插 一 遍 ， 把 猫 和 拨号 路 由 器 电 
源 重新 加 电 ， 重 新 配置 拨号 路 由 拨号 的 账号 和 密码 ..……….， 把 我 所 说 的 方法 都 试 了 一 遍 ， 还 是 
不 通 , 我 都 黔 驴 技 穷 了 。 血 思 若 想 好 一 阵 ， 忽 然 想 到 是 不 是 该 交 上 网 费 了 。 我 让 他 打 电 话 咨 
询 一 下 电信 ， 果 然 欠 费 了 。 缴 费 之 后 ， 一 切 OK 了 。 

以 后 再 解决 网 络 故障 时 针对 ADSL 拨号 用 户 还 要 检查 是 否 欠 费 ， 经 验 就 是 这 么 积累 的 。 
好 了 ， 现 在 告诉 大 家 网 络 排 错 的 通用 方法 。 
12.1.1 网 络 排 错过 程 

(1) 先 看 症状 。 

(2) 列 出 引起 该 症状 的 尽 可 能 多 的 原因 。 

(3) 然后 针对 每 个 原因 进行 排查 。 

(4) 找到 原因 。 

(5) 解决 问题 。 

在 这 里 第 (2) 步 非常 重要 ， 列 出 原因 的 越 多 ， 你 就 越 能 排除 较为 复杂 的 网 络 故 障 。 

现在 就 以 一 个 用 户 不 能 访问 Internet 为 例 ， 
给 大 家 展示 网 络 排 错 的 过 程 。 


12.1.2 ”网 络 排 错案 例 


如 图 12-1 所 示 : 公司 A 计算 机 不 能 打开 
Internet 网 站 。 
原因 : 
(1) A 计算 机 的 网 线 没有 连接 好 。 
(2) A 计算 机 的 网 卡 没有 安装 驱动 。 
(3) A 计算 机 瑟 地 址 、 子 网 掩 码 、 网 关 错 


其 。 
(4) A 计算 机 被 ARP 欺骗 。 
(5) A 计算 机 域名 解析 出 现 故 障 。 
(6) A 计算 机 设置 了 IPSec。 石家庄 车 辆 三 局 域 网 
(7) A 计算 机 正 设置 了 错误 的 代理 服务 。 
全 图 12-1 网 络 排 错 图 示 


第 12 章 
网 络 排 错 和 地 址 自动 分 配 因 呈 天 是 天 是 呈 


(8) 公司 路 由 器 C 设置 访问 控制 列表 错误 。 
排 错 过 程 


(1) 确定 是 只 有 A 计算 机 不 能 访问 Intemet， 还 是 和 A 计算 机 在 一 个 网 段 的 所 有 计算 

机 都 不 能 访问 。 如 果 是 只 有 A 计算 机 不 能 访问 Intemet， 就 在 A 计算 机 上 找 原因 。 
(2) 看 看 A 计算 机 是 不 是 有 本 地 连接 , 如 图 12-2 所 示 , 如 果 没 有 , 需要 安装 网 卡 驱动 。 
(3) 如 果 有 “本 地 连接 ”， 看 看 网 线 是 否 连接 正常 。 如 图 12-3 所 示 。 


、 网络 连 挫 


高 四 t 素 外。 工具 


万 和 及 x 国 - 9 介 - 访 记过 区 zx | 国 - 


创建 一 个 新 的 连接 自 娃 一 个 新 的 注 接 
a 人 使 设置 家 许 或 小 型 办 公 


全 可 ai 防火 全 豆 防火 


全 图 12-2 没有 安装 驱动 全 图 12-3 网 线 没 接 好 

(4) 如 果 有 “本 地 连接 ” 并 且 显 示 “ 已 连接 ”， 看 看 本 地 连接 是 否 有 收发 的 数据 包 。 
如 果 只 有 收 的 包 或 具有 发 的 包 ， 你 需要 重新 连接 网 线 ， 或 重新 做 网 线 的 水 晶 头 。 
网 络 通信 要 求 必 须 能 够 接收 数据 包 和 发 送 数据 包 。 要 是 还 不 行 ， 你 就 重新 卸载 网 
卡 驱动 ， 重 新 扫描 硬件 ， 加 载 驱动 。 

(5) 同时 也 要 看 看 网 卡 的 速度 是 否 和 交换 机 的 接口 匹配 ， 默 认 是 自动 协商 速度 。 如 果 
强制 指定 带宽 和 交换 机 的 接口 速度 不 能 匹配 成 功 ， 网 络 也 不 通 ， 如 图 12-4 所 示 。 

(6) 打开 TCP/IP 属性 ， 可 以 看 到 配置 的 静态 人 P 地 址 、 子 网 掩 码 和 网 关 ， 以 及 DNS 是 
和 否 设 置 正 确 ， 如 图 12-5 所 示 。 
本 地 连接 状态 


bp IF 设置 。 否则 ， 
商人 
人 〇 自动 获得 了 ? 地 址 @) 
加 使 用 下 面 的 地 址 人 ): 
亚 地 址 加 )- 10 .7 .10 -8 
FA WD: 255 .255 .255 . 0 
默认 网 关 @) [10 .7 .10.1| 


4 和 得 DIS 服务 器 地 址 @) 


回合 用 下 面 的 DNS 服务 器 地 址 @E): 
首选 Ts 服务 器 外 ): 222 .222 .222 .222 
备用 DIS 服务 器 人) 


全 图 12-4 查看 收发 包 以 及 带宽 情况 全 图 12-5 查看 网 络 配置 
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(7) 或 在 命令 行 下 输入 ipconfig /all 查看 是 否 配置 正确 ,如 图 12-6 所 示 , 注意 自动 获取 
的 下 地 址 ， 以 及 配置 的 静态 的 人 P 地址 。 如 果 从 这 看 到 的 地 址 和 配置 的 静态 地 址 
不 一 致 ， 需 要 禁用 、 启 用 一 下 网 卡 ， 要 是 还 不 行 ， 就 重启 一 下 系统 。 默 认 情况 下 
Windows 更 改 人 P 地 址 后 就 直接 生效 ， 但 是 个 别 情况 有 例外 。 使 用 ipconfig /all 命 
令 看 到 的 地 址 是 当前 生效 的 地 址 。 

(8) 禁用 没有 用 的 网 卡 。 多 余 的 网 卡 上 的 错误 人 P 地 址 也 会 造成 网 络 问题 ， 如 图 12-7 
所 示 。 


文件 ) ”编辑 下) 查看 W) 收 送 和 ) 工具 I) 高 级 加 帮助) 


加 -市 甩 虹 xx 国 - 


六 LAN 或 高速 Internet 


和 个 3 Fy 1 
Pi ei ee 国 6 有 一 人 iiE 接 J 于 
+ PO-HG-29-00-13-1P 他 a 一 ware re 


更 改 Windows 防火 
. 增设 置 


A 图 12-6 查看 网 络 配 置 全 图 12-7 禁用 无 用 连接 

(9) 检查 网 络 连接 正常 ， 有 收发 的 数据 包 ，IP 地 址 子 网 掩 码 和 网 关 都 正常 ， 就 要 ping 
网 关 是 否 通 ，ping 本 网 段 的 其 他 计算 机 是 否 通 。 查 看 time 的 值 是 否 正 常 ，100M 
网 络 如 果 不 堵塞 ， 延迟 应 该 小 于 10 毫秒 。 如 果 大 于 100 毫秒 ， 则 要 考虑 使 用 抓 包 
工具 排 错 ， 如 图 12-8 所 示 。 

(10) 如 果 ping 网 关 不 通 ，ping 本 网 段 其 他 计算 机 能 够 通 ， 则 要 考虑 是 否 MAC 地 址 
欺骗 。 输 入 arp -a Ce 是 不 是 正确 网 关 的 MAC 地 址 。 
如 果 计 算 机 缓存 了 一 个 错误 的 网 关 MAC 地 址 , 则 要 安装 ARP 防火 墙 , 防止 ARP 
欺骗 ， 如 图 ey 


:WIRDOYS\systen32\cad. 


t Vindous 人 5-1-2608] 


yee-32 tne=7ms TTL-255 
ks 了 和 185-200 Werazete Corp. 


ytes=32 tine=ims TTL=255 
ytea-32 tino-ins TIL-255 
:Mhocunents and Settings han?ping 10.7.18.1 1: hytes=32 tine=lnms IIL=255 


inging 10.7.10.1 vith 32 hytes of data: 


ot ,Cx lose), 


rat 


9e- 8- 
B024-d7-78-e6-c8 dynanic 
Be-11-a8-ec-3c-eg dynanic 


ets and Settings \han>— 


| 起 


全 图 12-8 测试 网 关 A 图 12-9 查看 解析 的 MAC 地 址 
(11) 检查 Windows 是 否 指派 了 错误 的 PSec， 将 所 有 的 IPSec 都 不 指派 ， 测 试 是 否 能 
够 上 网 ， 如 图 12-10 所 示 。 


(12) 检查 在 公司 路 由 器 C 上 是 否 设置 访问 控制 列表 ， 允 许 本 网 段 能 够 访问 Internet。 
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(13) ping 202.99.160.68 -t， 该 地 址 是 河北 石家庄 (中 国 网 通 ) DNS 服务 器 地 址 ， 我 经 
常用 该 地 址 测试 是 否 能 访问 Intemet， 如 图 12-11 所 示 。 


hanyping 282.99.168.68 ~t 


有 于 罗 后 字 雪 据 : 
=126ns TTL=248 
68 天 -tasrs Tri-249 

-126ms TIL-248 


于 兴 = 上 cgx 天 兴 )， 


A 图 12-10 禁用 IPSec 全 图 12-11 测试 网 络 
(14) ping 域名 ， 查 看 是 否 能 解析 到 网 站 的 域名 。 如 图 12-12 所 示 ，ping www.inhe.net 
能 够 解析 域名 ， 且 还 能 够 通 ，ping www.microsoft.com 解析 域名 成 功 ， 只 不 过 该 
ee icmp 协议 出 入 ， 你 别 误 认为 该 网 站 不 能 访问 。 如 果 你 的 DNS 设置 错 
， 你 的 计算 机 就 不 能 进行 域名 解析 ， 这 时 可 以 而 为 你 的 计算 机 配置 多 个 DNS 
服务 器 如 图 12-13 所 示 。 


net 协议 ICEAIP) 属性 


| Ping www。inhe net 器 : .192.: es 193] 具有 32 字 节 的 数据 : 
93 


自 221.192.155.1 
自 221.192.155.193 的 回 2 司 - 139ns ITL=238 
自 221.192.155.193 的 回 =32 时 | 本 -138ms ITL=238 
自 221.192.155.193 的 回 =32 时 全 -139ms ITL-238 品目 友 查 本 地址 (0) 
息 回 全 用 下 而 的 了 地 址 人) 
zi. i 155.193 的 Ping FREE 
全 2 ,丢失 - 9 《gx 丢失 》， 2 Ll 
i EG 和 FMD: 95 255 255 (0 | 
的 - ns WARD oo 7 oil| 
:Wsers\hanYping www-microsoft-com ee 
Ping 1bl.www.ns.akadns.net [64.4.11.29] 具有 32 字 节 的 数据 : 全 合用 下 面 的 1s 服务 名 地 址 区 ): 
E “i 区 ms 甩 务 器 WT] 
| 域名 解析 成 功 wg [而 珊 | 


全 图 12-12 测试 域名 解析 全 图 12-13 配置 多 个 DNS 服务 器 

(15) 如 果 个 别 网 站 访问 不 了 ， 也 可 能 是 病毒 向 你 的 计算 机 C:\Windows\System32\ 
drivers\etc\hosts 文件 添加 内 容 了 。 使 用 记事 本 打开 该 文件 。 只 保留 如 图 12-14 内 
容 就 可 以 。 该 文件 存储 域名 和 下 地 址 的 对 应 关系 ， 如 果 该 文件 有 就 不 用 DNS 解 
析 了 。 所 以 如 果 病 毒 给 你 在 该 记事 本 中 添加 一 条 22.22.22.22 wwwbaidu.com， 你 
就 不 能 访问 百度 网 站 了 。 你 ping www.baidu.com 可 以 看 到 解析 的 地 址 是 
22.22.22.22， 如 图 12-14 所 示 。 

(16) 如 果 你 的 计算 机 使 用 错误 的 DNS 服务 器 解析 到 了 错误 的 卫 地 址 ， 或 ARP 解析 
到 了 错误 的 MAC 地 址 ， 你 可 以 通过 “修复 ”按钮 清除 缓存 ， 如 图 12-15 所 示 。 
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十 本 地 连 搁 状态 


咎 规 | 支持 | 


连接 六 帮 
地 址 关 型 
亚 地 址 10.7.10.89 
子 网 掩 码 255.255.255.0 
加 认同 关 10.710.1 


EREEEEEIOEETIETITI 
# Copyright (c) 1993-1999 Microsoft Corp- 
中 


This is a sanple HOSTS file used by Microsoft TCP/IP for Windeus- 
日 


This File contains the nappings of IP addresses to host nanes. Each 

# entry should be kept on an individual line. The IP address should 

# be placed in the First colunn followed by the corresponding host nane- 
The IP address and the host nane should he separated by at least one 
space. 

站 

# Additionally, connents (such as these) nay be inserted on individual 
# lines or following the machine nane denoted by 3 '# synbol. 

中 

站 For exanple: 


er 


吕 192.54.94.97 rhino.acne -com Source Server 
日 98.25.69-19 x.acne.con x client host 


127 .9.9.1 1ocalhost 
22.22.22.22 ww-baidu .com 


全 图 12-14 Host 文件 全 图 12-15 修复 网 络 连接 

(17) 如 果 ping www.inhe.net 能 够 解析 到 人 P 地 址 。 测 试 是 否 能 够 访问 Web 服务 ， 就 要 
使 用 telnet www.inhe.net 80 进行 测试 。 如 图 12-16 所 示 ， 如 果 能 够 成 功 ， 则 你 的 
计算 机 就 应 该 能 够 访问 该 网 站 。 如 果 正 还 是 访问 不 了 ， 应 该 检查 你 的 正 浏览 器 
设置 ， 是 否 设置 了 错误 的 代理 服务 器 。 


-1.7681] 
有 《ec》2889 Microsoft Corporation。 保 留 所 有 权利 。 


:Wsers\hanytelnet www.inhe.net 80 


全 图 12-16 telnet 测试 


(18) 检查 下 浏览 器 代理 服务 器 设置 。 有 些 病毒 给 你 设置 了 一 个 并 不 存在 的 代理 服务 


器 。 你 访问 网 站 总 是 找 这 个 代理 服务 器 , 当然 打 不 开 网 页 了 。 如 图 12-17 和 图 12-18 


EEC 


| Ee tm 忆 
找 S <* 月 加 i 
ET 
i 局 域 网 (LAB) 设 畦 
a 
局 央 问 LADi 轩 = 加 为 各 全 人 人 和 加 他 由 人 和 庙 用 于 的 表 vrs 过 所 
er 寺 T 执 设 。 [本 
地 站 四 [zr 1z211z 二 om: 国 | 
口 且 本 夫 寺 址 的 代理 可 和 器 | 


思 


Cu (ww) eaw 


CC 要 
全 图 12-17 配置 代理 服务 器 全 图 12-18 检查 代理 服务 器 设置 


| 12.2 | IP 地 址 自动 分 配方 案 


计算 机 的 下 地 址 可 以 自动 分 配 也 可 以 指定 静态 人 P 地 址 。 


网 络 排 错 和 地 址 自动 分 配 戎 时 旺 汪 是 晤 呈 


在 移动 频繁 的 网 络 环境 (如 使 用 笔记 本 ) 中 ， 计 算 机 人 P 地 址 最 好 设置 为 自动 获得 ， 由 
DHCP 服务 器 自动 为 计算 机 分 配 人 P 地 址 。 在 计算 机 较为 固定 的 网 络 环境 中 ，JP 地 址 最 好 设 


置 为 固定 的 。 


动态 主机 配置 协议 (DHCP) 是 一 个 TCP/IP 标准 ， 用 于 减少 网 络 客户 机 IP 地 址 配置 的 复 
杂 度 和 管理 开销 。Windows Server 2003 或 Windows Server 2008 提供 DHCP 服务 ， 该 服务 允许 
一 台 计 算 机 作为 DHCP 服务 器 并 配置 用 户 网 络 中 启用 DHCP 的 客户 计算 机 。DHCP 在 服务 器 
上 运行 ， 能 够 自动 集中 管理 瑟 地 址 和 用 户 网 络 中 客户 计算 机 所 配置 的 其 他 TCPAP 设置 。 


DHCP 的 优点 


对 于 基于 TCP/IP 的 网 络 ,必须 要 进行 人 数据 的 配置 ， 
例如 人 P 地 址 、 子 网 掩 码 或 默认 网 关 等 ， 可 以 使 用 两 种 方 
式 进行 自 定义 的 TCP/IP 配置 : 

。 手动 TCP/IP 配置 

可 以 通过 手动 输入 的 方式 为 网 络 上 的 每 个 设备 设置 
其 全 配置 数据 。 

手工 输入 不 可 避免 地 会 产生 输入 错误 。 这 些 错 误 也 许 
会 导致 通信 无 法 正常 进行 或 IP 地 址 冲突 。 而 且 某 些 情况 
下 ， 网 络 中 的 计算 机 (例如 笔记 本 电脑 ) 会 经 常 性 变换 它 
们 所 处 的 网 段 。 手工 输入 方式 不 适合 比较 大 的 网 络 , 管理 
负担 会 过 于 繁重 。 

。 ”自动 TCP/IP 配置 

使 用 DHCP 进行 自动 化 配置 ， 当 将 DHCP 服务 器 设 
置 为 支持 DHCP 客户 端 时 , DHCP 服务 器 将 自动 把 相关 的 
配置 信息 提供 给 DHCP 客户 端 。 

这 种 方式 保证 网 络 中 的 客户 端 会 得 到 正确 配置 。 而 
且 ， 如 果 需 要 对 某 些 客户 端的 耳 配置 数据 做 出 调整 ， 只 
需要 在 DHCP 服务 器 上 一 次 完成 ， 然 后 DHCP 服务 器 将 
自动 更 新 这 些 客户 端 上 的 配置 信息 以 使 这 些 调整 生效 。 


使 用 DHCP 的 优点 
。 ”安全 可 靠 的 配置 DHCP 把 手工 IP 地 址 配置 所 导 


若 规 
EE 2 EE 


自 寺 区 得 芋 地 直人 
合 放下 而 的 3 地 址 (8) 
亚 地 址 四 


自 过 得 TNS 时务 器 地 址 用 
各 证 下 面 的 TNE 服务 尖 地 址 EE) 


首选 DIE 服务 器 中 ) £08 ,名 ,180 ,66 
各 用 DIE 服务 器 凶 ) 2 .0 .1 ,8 
[Er] 
CR Ca 


全 图 12-19 静态 地 址 
| 
EN Et 


半自动 氏 时 开 地 址 中 ) 
使用 下 而 的 TIP 地 址 @) 


名 汪 动 册 有 
使 用 下 而 的 TIS 部 务 器 地 寺 


全 图 12-20 自动 获得 IP 地 址 配置 


致 的 配置 错误 减少 到 最 低 程 度 ， 比 如 输入 错误 或 者 把 当前 已 分 配 的 了 P 地 址 再 分 配 


给 另 一 台 计 算 机 所 造成 的 地 址 冲突 等 。 
。 减少 了 网 络 管理 工作 量 。 
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。 TCP/IP 配置 是 集中 化 和 自动 化 的 。 网 络 管理 员 能 集中 定义 全 局 和 特定 子 网 的 
TCP/IP 配置 。 使 用 DHCP 选项 可 以 自动 给 客户 机 分 配 全 部 范围 的 附加 TCP/IP 配 
置 值 。 

。 ”客户 机 配置 的 地 址 变化 必须 经 常 更 新 ， 比 如 远程 访问 客户 机 经 常 到 处 移动 ， 这 样 便 
于 它 在 新 的 地 点 重新 启动 时 ， 高 效 而 又 自动 地 进行 配置 。 

四 大 部 分 路 由 器 能 转发 DHCP 配置 请 求 ， 这 就 减少 了 在 每 个 子 网 设置 DHCP 服务 


器 的 必要 ， 除 非 有 其 他 原因 。 
举例 来 说 : 在 一 个 中 型 网 络 中 , 需要 设置 200 台 计 算 机 的 了 P 配置 信息 。 如果 没有 DHCP， 
就 需要 一 台 接 一 台 的 手工 设置 这 200 台 计 算 机 , 而 且 设 置 完成 后 , 还 需要 牢记 这 200 个 设置 。 
如 果 要 对 这 些 计 算 机 的 他 配置 做 出 变动 ， 还 需要 再 做 一 遍 以 上 的 工作 。 
有 了 DHCP, 内需 为 服务 器 添加 一 个 DHCP 服务 器 角色 就 可 以 支持 这 200 个 网 络 客户 端 。 
当 需 要 对 IP 设置 做 变动 的 时 候 ， 只 需 在 DHCP 服务 器 上 一 次 完成 , 然后 每 个 TCP/IP 网 络 上 
的 主机 将 会 更 新 它们 的 DHCP 客户 端 配置 。 


12.2.1 配置 路 由 器 支持 跨 网 段 分 配 IP 地 址 


下 面 就 为 你 展示 使 用 DHCP 

服务 器 为 多 个 网 段 计算 机 分 配 下 

地 址 过 程 。 需要 在 Fal/0 和 Fa6/0 接 口 配 置 DHCP 中 继 
打开 第 12 章 01 配置 路 由 器 ip helper-address 192.168.0.100 


作为 DHCP 中 继 代理 .pkt， 网 络 环 i 
境 如 图 12-19 所 示 ， 图 中 DHCP 2 
服务 器 已 经 配置 为 固定 I 地 址 50 人 4 ae 


Server-PT Switch: 
(DHCP 服务 器 必须 配置 为 固定 。” DHCP 服 务 器 
JP 地址)， 路 由 器 的 地 址 已 经 配置 i 
完成 ， 现 在 你 需要 在 DHCP 服务 He 


器 上 为 Officel 和 Office2 两 个 网 段 pe 
创建 两 个 作用 域 ,为 这 两 个 网 段 的 
' 关 和 作 8 
oo 0 
Officel 和 Office2 两 个 网 段 计算 机 senatet ‘Office2 
请 求 IP 地 址 的 数据 包 转发 到 Offices 
DHCP 服务 器 192.168.0.100。 A 图 12-21 DHCP 中 继 示意 图 

步骤 : 


(1) 在 DHCP 服务 器 上 为 Officel 添加 一 个 地 址 池 ， 配 置 网 关 和 DNS 服务 器 ， 以 及 分 
配 指 的 数量 ， 点 击 Add 按钮 。 
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Server0 


Physical 


con 和 Desktop 


网 络 排 错 和 地 址 自动 分 配 


Physcal | conig Desktop 


Cam 
Cw — et 


[eerthm Sens covice @ cn Oorr 
[Csravces 
一 


FoclName [GEEE 


ONS server 
Start IP Address 


Default Gateway [192.156,2,1 | 


DNS Server [222.222.222.222 


Start IF Address 


Subnet Mask: 


Mmm number 
of Users: 


Subnet ask 


Naxmum number J 
of Users 一 


TFTP Server; 000 


(2) 在 路 由 器 上 的 配置 。 进 入 


(3) 在 Officel 网 段 中 的 PC0 


全 图 12-22 为 0fficel 创建 作用 域 


连接 Officel 网 段 的 接 


口 ， 配 置 DHCP 中 继 代 
理 ， 进 入 链接 Office2 网 
段 的 接口 ， 配 置 DHCP 
中 继 代 理 ， 如 图 12-24 所 


示 。 


上 测试 , 可 以 看 到 DHCP 
自动 分 配 的 地 址 、 子 网 掩 
码 和 网 关 以 及 DNS。 如 


Router#config t 

Enter configuration comnands, one per line. End with CNTL/ 
Router (config)#interface fastEthernet 1/0 

Router (config-if) #ip helper-address 192.168.0.100 

Router (config-if) fexit 

Router (config) #interface EastBthernet 6/0 

Router (caonTig-if)#ip helper-address 192.168.0.100 

Router (config-if)# 


全 图 12-24 配置 DHCP 中 继 


果 请 求 失败 ， 可 以 选中 Static 选项 ， 再 选中 DHCP 选项 ， 再 次 请 求 ， 如 图 12-25 


所 示 。 


(4) 在 Office2 网 段 的 PC2 上 测试 ， 如 图 12-26 所 示 ， 能 够 自动 得 到 耳 地 址 。 


onvsical | confg | Desttop 


IP Configuration 


On) 
O stato 


下 Adcress 


PHcp request successfil 


Subnet Mask 


Default Gateway 


DN Server 


A 图 12-25 在 PC0 上 自动 获得 地 址 


@5azp 
DHCP request successful, 

O state 

Ip Adaress 

Subnet Mask 

Default Gateway 


DNS Sorver 


全 图 12-26 在 PC2 上 自动 获得 地 址 
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EE 。 


网 络 排 错 中 的 步骤 哪 一 步 最 为 关键 ? 

. 先 看 症状 

. 列 出 引起 该 症状 的 尽 可 能 多 的 原因 

.然后 针对 每 个 原因 进行 排查 

。 找到 原因 

.解决 问题 

。 如果 单 位 的 计算 机 A 不 能 访问 Intemet， 其 他 计算 机 能 够 访问 Internet， 你 需要 检测 
哪 几 方面 ? 

.单位 路 由 上 的 路 由 表 

. 计算 机 A 的 网 络 连接 、IP 地 址 配置 

.计算 机 A 的 网 关 ， 子 网 掩 码 设置 

. 计算 机 A 的 DNS 设置 

. 如果 你 单位 所 有 计算 机 不 能 访问 Intemet， 你 需要 检查 哪儿 方面 ? 

.交换 机 上 的 VLAN 划分 是 否 正确 

.路 由 器 上 的 访问 控制 列表 是 否 正 确 配置 

.检查 路 由 器 上 的 路 由 表 

.逐个 检查 计算 机 的 他 配置 

.DHCP 服务 器 能 够 给 客户 分 配 哪些 设置 ? 

IP 地 址 

子 网 掩 码 

网 关 

DNS 

.实现 跨 网 段 DHCP 地 址 分 配 ， 需 要 哪些 设置 ? 

. 在 DHCP 服务 器 上 ， 为 每 个 网 段 创建 地 址 池 ， 并 配置 网 关 、 子 网 掩 码 、DNS 等 设置 

.同时 还 需要 在 连接 DHCP 客户 机 的 路 由 器 接口 上 配置 ip helper-address 指明 DHCP 
服务 器 的 卫 地址 

.需要 配置 DHCP 客户 机 使 用 哪个 DHCP 服务 器 

.需要 在 连接 DHCP 服务 器 的 路 由 器 接口 上 配置 ip helper-address 指明 DHCP 服务 器 
的 卫 地 址 


HU 


HoINvmPsIONWP> ONnW> 
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